«

»

Nov 17

Virus in documenti Office via DDE

I “bravissimi” cracker ed affini che hanno sempre tanto buon tempo da dedicare a queste cose odiose si sono inventati un nuovo metodo per infettare i pc Windows utilizzando la funzione DDE (Dynamic Data Exchange) contenuta in files di Microsoft Office che puntano ad un contenuto malevolo su Internet.

 

Il giochino funziona così di solito : ricevete un file di Office come allegato via email, può essere un file Excel, oppure un file di Word, ma anche un semplice messaggio email in Outlook; all’apertura Office vi chiede giustamente l’abilitazione per la modifica del file in quanto contiene collegamenti a files esterni, in pratica vi compare una finestra simile a questa con la solita riga gialla superiore e la richiesta di Abilitazione del contenuto attivo del file :

già qui un utente attento NON dovrebbe abilitare il contenuto di un file ricevuto via email da Internet da estranei, però ammettiamo di sbagliare e confermare, comparirà successivamente un’ulteriore richiesta di aggiornamento dati simile a questa :

e qui cominciano i dolori perchè se l’utente conferma con SI l’aggiornamento dei dati lancia una funzione DDE di Office che preleva un file esterno collegato a questo file che avete appena aperto, purtroppo se il file esterno (posizionato su qualche sito web esterno) contiene codice malevolo verrebbe caricato ed eseguito e difficilmente il vostro antivirus sarebbe in grado di intercettarlo e bloccarlo in quanto non è il file che avete ricevuto quello con il virus ma quello esterno caricato da Internet al volo dalla funzione DDE.

In alcune aziende disabilitare le funzioni DDE, che ricordiamolo nascono come aiuto per collegare tra loro files diversi di Office e quindi per aggiornare dati in automatico tra documenti di Office, potrebbe essere un pò complicato, nel senso che potrebbe andare a discapito del funzionamento di alcuni documenti di uso comune in azienda, conviene quindi fare un pò di istruzione al buon senso agli utenti perchè come vedete sono necessarie ben 2 conferme (a volte anche 3 a seconda del tipo di collegamento DDE) per mandare in esecuzione il codice malevolo !

E quindi la scusa : eh ma io ho cliccato solo una volta per sbaglio questa volta non regge…..

: – )

Se però avete l’assoluta necessità di un ambiente sicuro o non usate le funzioni DDE potete procedere alla loro totale disabilitazione nelle varie versioni di Office seguendo questo documento ufficiale di Microsoft :

https://technet.microsoft.com/library/security/4053440

In pratica come al solito si tratta di agire sul registry cambiando alcune voci (che vi riporto qui sotto per comodità, selezionate ovviamente la versione relativa alla vostra applicazione Office) e quindi riavviate Windows per disabilitare qualsiasi funzione DDE di Microsoft Office ed avere un ambiente più sicuro :

Excel 2007 :
[HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Excel\Security]
WorkbookLinkWarnings(DWORD) = 2

Word 2007 :
[HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Options\vpref]
fNoCalclinksOnopen_90_1(DWORD)=1

Outlook 2007 :
[HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Options\vpref]
fNoCalclinksOnopen_90_1(DWORD)=1

 

Excel 2010 :
[HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Excel\Security]
WorkbookLinkWarnings(DWORD) = 2

Word 2010 :
[HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Word\Options]
DontUpdateLinks(DWORD)=1

Outlook 2010 :
[HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Word\Options\WordMail]
DontUpdateLinks(DWORD)=1

 

Excel 2013 :
[HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Excel\Security]
WorkbookLinkWarnings(DWORD) = 2

Word 2013 :
[HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Word\Options]
DontUpdateLinks(DWORD)=1

Outlook 2013 :
[HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Word\Options\WordMail]
DontUpdateLinks(DWORD)=1

 

Excel 2016 :
[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Excel\Security]
WorkbookLinkWarnings(DWORD) = 2

Word 2016 :
[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Options]
DontUpdateLinks(DWORD)=1

Outlook 2016 :
[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Options\WordMail]
DontUpdateLinks(DWORD)=1

 

Di questo problema ne ha parlato anche il CERT :

Avviso di sicurezza su DDE

 

Per maggiori informazioni sulle funzionalità DDE di Microsoft Office :

https://msdn.microsoft.com/en-us/library/windows/desktop/ms648774(v=vs.85).aspx

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>