Microsoft отключает DDE-функцию в Word для предотвращения атак

Олег Иванов 15 Декабря 2017 - 14:28

Домашние пользователи

...

В рамках декабрьского обновления Microsoft отключает функцию DDE в Word, на такой шаг компанию заставило пойти использование этой функции вредоносными программами. Dynamic Data Exchange (DDE) представляет собой механизм взаимодействия приложений в операционных системах Microsoft Windows.

В Office эта функция позволяет одному Office-приложению загружать данные из других Office-приложений, например, Word-файл может обновлять таблицу, получая данные из файла Excel.

DDE — старая функция, ей на смену давно пришла Object Linking and Embedding (OLE), однако до настоящего момента DDE по-прежнему поддерживалась приложениями Office.

Об использовании DDE во вредоносных целях писали в октябре 2017 года исследователи в области безопасности из SensePost, чем быстро воспользовались группы киберпреступников, такие как FIN7, которая атаковала финансовые организации.

Однако изначально Microsoft не рассматривала использование DDE во вредоносных целях как серьезную проблему, так как Office отображает предупреждения перед открытием файлов. Но спустя время авторы вредоносных программ нашли творческий способ использования данной функции, например, с помощью OLE и макросов.

По мере того как новые вредоносные кампании, использующие технологию DDE, начали становиться все более распространенными, Microsoft задумалась над тем, что это представляет реальную опасность для пользователей Office.

Первым шагом компании стала публикация метода, который помогал отключить функцию DDE в поддерживающих ее приложениях Office, таких как Word, Outlook и Excel. А в прошлый вторник корпорация решила пойти на радикальный шаг, полностью отключив DDE в Word.

Обновление, о котором идет речь, добавляет новый раздел реестра Windows, который контролирует статус функции DDE для приложения Word. Значение по умолчанию отключает DDE. Приведем для наглядности ключ реестра:

\HKEY_CURRENT_USER\Software\Microsoft\Office\version\Word\Security AllowDDE(DWORD)

Значения следующие:

AllowDDE(DWORD) = 0: Отключает DDE. Это значение по умолчанию после установки обновления.
AllowDDE(DWORD) = 1: Разрешает DDE-запросы к уже запущенной программе, но запрещает DDE для еще не запущенных программ.
AllowDDE(DWORD) = 2: Полностью разрешает DDE-запросы.

В Excel и Outlook DDE останется включенной по умолчанию.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 31 Октября 2025 - 14:39

Фишинг Мошенничество Онлайн-мошенничество Домашние пользователи F6

Мошенники зовут россиян на фальшивые свидания через сайты-двойники

В России появился новый вариант старой схемы FakeDate — теперь аферисты зовут жертв не только в кино или на стендап, но и в музеи, оперу и даже на романтические прогулки на лошадях. Об этом сообщили аналитики компании F6, которая фиксирует рост активности мошенников перед новогодними праздниками.

По данным F6, злоумышленники создают сайты-двойники популярных билетных сервисов, предлагая купить билеты на несуществующие мероприятия. Всего выявлено не менее семи скам-групп, а три из них с начала 2025 года уже похитили у россиян более 330 миллионов рублей.

Сценарий обмана начинается стандартно. Мошенник под видом привлекательной девушки размещает анкету на сайте знакомств или в телеграм-чате. Для убедительности он использует реальные фотографии, обработанные нейросетью, а иногда — голосовые и видеосообщения от подставных моделей.

После короткого общения «девушка» предлагает сходить на свидание и присылает ссылку на покупку билетов.

Сайт, на который попадает пользователь, выглядит почти как настоящий: там можно выбрать дату, место и оплатить «билеты». После оплаты сценарий всегда один — «партнёрша» либо исчезает, либо пишет, что встреча отменяется и предлагает оформить возврат, в ходе которого с карты списывают деньги ещё раз.

В F6 отмечают, что помимо денег жертвы теряют и личные данные — имя, номер телефона, почту и банковскую информацию, которые потом могут использовать для новых атак.

По словам аналитика компании Вячеслава Судакова, за последние месяцы количество подобных схем растёт, а пик активности приходится на праздники — в декабре, феврале и марте.

«Мошенничество с фальшивыми свиданиями — простой и доходный бизнес. Все инструменты для него уже автоматизированы, поэтому новичку достаточно следовать инструкции», — добавляет эксперт.

Напомним, ранее мы писали, что мошенники заработали на фальшивых свиданиях почти 10 млн рублей.