Comunicado de Segurança da Microsoft 4053440
Abrindo com segurança documentos do Microsoft Office que contêm campos DDE (Dynamic Data Exchange)
Publicado: terça-feira, 8 de novembro de 2017 | Atualizado: January 9, 2018
Versão: 3.0
Resumo executivo
A Microsoft está lançando este comunicado de segurança para fornecer informações sobre configurações de segurança para aplicativos do Microsoft Office. Este comunicado fornece orientação sobre o que os usuários podem fazer para garantir que esses aplicativos sejam protegidos corretamente ao processar campos DDE (Dynamic Data Exchange).
Sobre o intercâmbio dinâmico de dados
O Microsoft Office fornece vários métodos para transferir dados entre aplicativos. O protocolo DDE é um conjunto de mensagens e diretrizes. Ele envia mensagens entre aplicativos que compartilham dados e usa memória compartilhada para trocar dados entre aplicativos. Os aplicativos podem usar o protocolo DDE para transferências de dados únicas e para trocas contínuas nas quais os aplicativos enviam atualizações uns aos outros à medida que novos dados se tornam disponíveis.
Cenário
Em um cenário de ataque por email, um invasor pode aproveitar o protocolo DDE enviando um arquivo especialmente criado para o usuário e, em seguida, convencendo-o a abrir o arquivo, geralmente por meio de um aliciamento em um email. O invasor teria que convencer o usuário a desabilitar o Modo Protegido e clicar em um ou mais prompts adicionais. Como os anexos de email são um método principal que um invasor pode usar para espalhar malware, a Microsoft recomenda que os clientes tenham cuidado ao abrir anexos de arquivos suspeitos.
Teclas de controle de recurso DDE
O Microsoft Office fornece várias chaves de controle de recursos que são armazenadas no Registro e são responsáveis por modificar a funcionalidade do produto, melhorar o suporte aos padrões do setor e melhorar a segurança. A Microsoft documentou essas chaves de controle de recurso e recomenda habilitar chaves de controle de recurso específicas por motivos de segurança. Veja o seguinte:
- Office 2016: Proteger e controlar o acesso ao Office
- Office 2013: Proteger o Office 2013
A Microsoft recomenda vivamente a todos os utilizadores do Microsoft Office que analisem as chaves de controlo de funcionalidades relacionadas com a segurança e as habilitem. A definição das chaves do Registro descritas nas seções a seguir desabilita a atualização automática de dados de campos vinculados.
Atualização Em 12 de dezembro de 2017, a Microsoft lançou uma atualização para todas as edições com suporte do Microsoft Word que permite aos usuários definir a funcionalidade do protocolo DDE com base em seu ambiente. Para obter mais informações e baixar a atualização, consulte ADV170021.
Atualização Em 9 de janeiro de 2018, a Microsoft lançou uma atualização para todas as edições com suporte do Microsoft Excel que permite aos usuários definir a funcionalidade do protocolo DDE com base em seu ambiente. Para obter mais informações e baixar a atualização, consulte ADV170021.
Atenuando cenários de ataque DDE
Os usuários que desejam tomar medidas imediatas podem se proteger criando e definindo manualmente entradas do Registro para o Microsoft Office. Use as instruções a seguir para definir as chaves do Registro com base nos aplicativos do Office instalados em seu sistema.
Aviso: Se você usar o Editor do Registro incorretamente, poderá causar problemas sérios que podem exigir a reinstalação do sistema operacional. A Microsoft não pode garantir que você possa resolver problemas resultantes do uso incorreto do Editor do Registro. Use o Editor do Registro por sua conta e risco.
A Microsoft recomenda que você faça backup do Registro antes de fazer quaisquer alterações nas entradas do Registro.
Microsoft Excel
O Excel depende do recurso DDE para iniciar documentos.
Para impedir a atualização automática de links do Excel (incluindo DDE, OLE e referências de célula externa ou nome definido), consulte a tabela a seguir para a cadeia de caracteres de versão da chave do Registro a ser definida para cada versão:
| Versão do Office | Cadeia de caracteres de versão> da Chave <do Registro |
|---|---|
| Office 2007 | 12.0 |
| Office 2010 | 14.0 |
| Office 2013 | 15.0 |
| Office 2016 | 16,0 |
- Para desativar o recurso DDE por meio da interface do usuário:
Definir configurações de File-Options-Trust>> Center-Trust Center...>->External Content-Security> para Links de Pasta de Trabalho = Desabilitar a atualização automática de Links de Pasta de Trabalho. - Para desativar o recurso DDE por meio do Editor do Registro:
[HKEY_CURRENT_USER\Software\Microsoft\Office\</version><version>\Excel\Security]
WorkbookLinkWarnings(DWORD) = 2
Impacto da atenuação: desabilitar esse recurso pode impedir que planilhas do Excel sejam atualizadas dinamicamente se desabilitadas no Registro. Os dados podem não estar completamente atualizados porque não estão mais sendo atualizados automaticamente via feed ao vivo. Para atualizar a planilha, o usuário deve iniciar o feed manualmente. Além disso, o usuário não receberá solicitações para lembrá-lo de atualizar manualmente a planilha.
Microsoft Outlook
Consulte a tabela a seguir para obter a cadeia de caracteres de versão da chave do Registro a ser definida para cada versão do Office:
| Versão do Office | Chave <do Registro /cadeia de caracteres de versão> |
|---|---|
| Office 2010 | 14.0 |
| Office 2013 | 15.0 |
| Office 2016 | 16,0 |
- Para o Office 2010 e versões posteriores, para desabilitar o recurso DDE por meio do Editor do Registro:
[HKEY_CURRENT_USER\Software\Microsoft\Office\</version><version>\Word\Options\WordMail]
DontUpdateLinks(DWORD)=1
- Para o Office 2007, para desabilitar o recurso DDE por meio do Editor do Registro:
[HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Options\vpref]
fNoCalclinksOnopen_90_1(DWORD)=1
Impacto da atenuação: a configuração dessa chave do Registro desabilitará a atualização automática para o campo DDE e links OLE. Os usuários ainda podem habilitar a atualização clicando com o botão direito do mouse no campo e clicando em "Atualizar Campo".
Microsoft Publisher
Um documento do Word usando o protocolo DDE incorporado em um documento do Publisher pode ser um possível vetor de ataque. Você pode ajudar a evitar esse vetor de ataque aplicando a modificação da chave do Registro do Word. Consulte a seção a seguir para obter os valores de chave do Registro do Word.
Microsoft Word
Consulte ADV170021 para obter uma atualização para o Microsoft Word que permita aos usuários definir a funcionalidade do protocolo DDE com base em seu ambiente.
Consulte a tabela a seguir para obter a cadeia de caracteres de versão da chave do Registro a ser definida para cada versão do Office:
| Versão do Office | Chave <do Registro /cadeia de caracteres de versão> |
|---|---|
| Office 2010 | 14.0 |
| Office 2013 | 15.0 |
| Office 2016 | 16,0 |
- Para o Office 2010 e versões posteriores, para desabilitar o recurso DDE por meio do Editor do Registro:
[HKEY_CURRENT_USER\Software\Microsoft\Office\</version><version>\Word\Options]
DontUpdateLinks(DWORD)=1
- Para o Office 2007, para desabilitar o recurso DDE por meio do Editor do Registro:
[HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Options\vpref]
fNoCalclinksOnopen_90_1(DWORD)=1
Impacto da atenuação: a configuração dessa chave do Registro desabilitará a atualização automática para o campo DDE e links OLE. Os usuários ainda podem habilitar a atualização clicando com o botão direito do mouse no campo e clicando em "Atualizar Campo".
No Windows 10 Fall Creators Update (versão 1709)
Os usuários do Windows 10 Fall Creators Update podem aproveitar o Windows Defender Exploit Guard para bloquear malware baseado em DDE com regras de redução de superfície de ataque (ASR).
O ASR é um componente do Windows Defender Exploit Guard que fornece às empresas um conjunto de inteligência interna que pode bloquear os comportamentos subjacentes usados por documentos mal-intencionados para executar ataques sem prejudicar a operação do produto. Ao bloquear comportamentos mal-intencionados independentemente de qual seja a ameaça ou exploração, o ASR pode proteger as empresas de ataques de dia zero nunca antes vistos, como estas vulnerabilidades descobertas recentemente: CVE-2017-8759, CVE-2017-11292 e CVE-2017-11826.
Para aplicativos do Office, o ASR pode:
- Impedir que aplicativos do Office criem conteúdo executável
- Impedir que os aplicativos do Office iniciem o processo filho
- Impedir que aplicativos do Office sejam injetados no processo
- Bloquear importações Win32 do código de macro no Office
- Bloquear código de macro ofuscado
Explorações emergentes como DDEDownloader usam o pop-up DDE (Dynamic Data Exchange) em documentos do Office para executar um downloader do PowerShell, no entanto, ao fazer isso, eles iniciam um processo filho que a regra de processo filho correspondente bloqueia.
O Windows Defender Exploit Guard pode ser usado com a Proteção Avançada contra Ameaças (ATP) do Windows Defender para investigar e responder a riscos e problemas de segurança de nível empresarial. Para saber mais sobre o Windows Defender Exploit Guard e o Windows Defender ATP, consulte:
- Windows Defender Exploit Guard
- Proteção Avançada contra Ameaças do Windows Defender
- Inscrever-se em uma avaliação gratuita do Windows Defender ATP
- Windows Defender Exploit Guard: reduza a superfície de ataque contra malware de próxima geração
A Microsoft está pesquisando mais sobre esse problema e publicará mais informações neste artigo quando as informações estiverem disponíveis.
Ações adicionais sugeridas
- Proteja seu PC
Continuamos a incentivar os clientes a seguirem nossa orientação Proteja seu computador de habilitar um firewall, obter atualizações de software e instalar software antivírus. Para obter mais informações, consulte Central de Segurança da Microsoft. - Mantenha o software Microsoft atualizado
Os usuários que executam o software da Microsoft devem aplicar as atualizações de segurança mais recentes da Microsoft para ajudar a garantir que seus computadores estejam o mais protegidos possível. Se você não tiver certeza se o software está atualizado, visite o Microsoft Update, verifique se há atualizações disponíveis no computador e instale as atualizações de alta prioridade que lhe são oferecidas. Se você tiver a atualização automática habilitada e configurada para fornecer atualizações para produtos Microsoft, as atualizações serão entregues a você quando forem lançadas, mas você deverá verificar se elas estão instaladas.
Outras Informações
Aviso de isenção de responsabilidade
As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões
- V1.0 (8 de novembro de 2017): Comunicado publicado.
- V1.1 (30 de novembro de 2017): Atualizada a seção Windows 10 Fall Creators Update com mais informações sobre as regras de redução da superfície de ataque (ASR). Esta é apenas uma alteração informativa.
- V2.0 (12 de dezembro de 2017): A Microsoft lançou uma atualização para todas as edições com suporte do Microsoft Word que permite aos usuários definir a funcionalidade do protocolo DDE com base em seu ambiente. Para obter mais informações e baixar a atualização, consulte ADV170021.
- V3.0 (9 de janeiro de 2018): A Microsoft lançou uma atualização para todas as edições com suporte do Microsoft Excel que permite aos usuários definir a funcionalidade do protocolo DDE com base em seu ambiente. Para obter mais informações e baixar a atualização, consulte ADV170021.