Microsoft отключает DDE-функцию в Word для предотвращения атак
Главная » Новости

Microsoft отключает DDE-функцию в Word для предотвращения атак

Олег Иванов 15 Декабря 2017 - 14:28
...
Microsoft отключает DDE-функцию в Word для предотвращения атак

В рамках декабрьского обновления Microsoft отключает функцию DDE в Word, на такой шаг компанию заставило пойти использование этой функции вредоносными программами. Dynamic Data Exchange (DDE) представляет собой механизм взаимодействия приложений в операционных системах Microsoft Windows.

В Office эта функция позволяет одному Office-приложению загружать данные из других Office-приложений, например, Word-файл может обновлять таблицу, получая данные из файла Excel.

DDE — старая функция, ей на смену давно пришла Object Linking and Embedding (OLE), однако до настоящего момента DDE по-прежнему поддерживалась приложениями Office.

Об использовании DDE во вредоносных целях писали в октябре 2017 года исследователи в области безопасности из SensePost, чем быстро воспользовались группы киберпреступников, такие как FIN7, которая атаковала финансовые организации.

Однако изначально Microsoft не рассматривала использование DDE во вредоносных целях как серьезную проблему, так как Office отображает предупреждения перед открытием файлов. Но спустя время авторы вредоносных программ нашли творческий способ использования данной функции, например, с помощью OLE и макросов.

По мере того как новые вредоносные кампании, использующие технологию DDE, начали становиться все более распространенными, Microsoft задумалась над тем, что это представляет реальную опасность для пользователей Office.

Первым шагом компании стала публикация метода, который помогал отключить функцию DDE в поддерживающих ее приложениях Office, таких как Word, Outlook и Excel. А в прошлый вторник корпорация решила пойти на радикальный шаг, полностью отключив DDE в Word.

Обновление, о котором идет речь, добавляет новый раздел реестра Windows, который контролирует статус функции DDE для приложения Word. Значение по умолчанию отключает DDE. Приведем для наглядности ключ реестра:

\HKEY_CURRENT_USER\Software\Microsoft\Office\version\Word\Security AllowDDE(DWORD)

Значения следующие:

  • AllowDDE(DWORD) = 0: Отключает DDE. Это значение по умолчанию после установки обновления.
  • AllowDDE(DWORD) = 1: Разрешает DDE-запросы к уже запущенной программе, но запрещает DDE для еще не запущенных программ.
  • AllowDDE(DWORD) = 2: Полностью разрешает DDE-запросы.

В Excel и Outlook DDE останется включенной по умолчанию.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Фишер украл у кировчанина виртуальные ценности CS:GO на 90 000 рублей
Татьяна Никитина 11 Сентября 2025 - 14:40
ФишингМошенничествоОнлайн-мошенничество Домашние пользователи
Фишер украл у кировчанина виртуальные ценности CS:GO на 90 000 рублей

В Кирове открыли уголовное дело по факту кражи у местного жителя скинов оружия и экипировки CS:GO. Фигурант, тоже кировчанин, уже признал свою вину и возместил ущерб, который потерпевший оценил в 90 тыс. рублей.

Как оказалось, похититель в поисках легких денег нашел в интернете видео, показывающее получение доступа к игровым аккаунтам с помощью фишинговых сайтов. Недолго думая, он применил приобретенные знания на практике.

Обнаружив в шутере хорошо упакованного участника, молодой человек завязал знакомство и предложил объединиться для совместной игры и с этой целью обговорить детали взаимодействия в Discord (в России заблокирован за несоблюдение требований законодательства ).

Когда намеченная жертва согласилась и перешла по предоставленной ссылке в закрытый канал, у нее появились новые «друзья». В скором времени они предложили «сыграть посерьезнее» на Faceit, присоединившись к конкретному сообществу.

В фальшивом клубе была закреплена ссылка для авторизации, которая вела на поддельную страницу Faceit с предупреждением о переходе на якобы новую версию платформы — 2.0. Когда легковерный геймер подтвердил согласие, его попросили зарегистрироваться из-под аккаунта Steam по QR-коду.

Последовав всем инструкциям, жертва обмана через несколько дней обнаружила пропажу виртуального имущества на общую сумму свыше 90 тыс. рублей. Как выяснилось, похититель его уже продал, а вырученные деньги потратил.

Уголовное дело возбуждено по факту совершения преступления, предусмотренного ч. 2 ст. 158 УК РФ (кража по сговору либо с причинением значительного ущерба, до пяти лет лишения свободы). У фигуранта взяли подписку о невыезде и проверяют его причастность к другим эпизодам подобного мошенничества.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
МВД России пресекло работу ресурса по продаже персданных
Новость
МВД России пресекло работу ресурса по продаже персданных
МАХ в июле заблокировал свыше 10 тысяч номеров мошенников
Новость
МАХ в июле заблокировал свыше 10 тысяч номеров мошенников
77% пользователей мессенджеров сталкивались с мошенниками
Новость
77% пользователей мессенджеров сталкивались с мошенниками

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.