Comunicado de Segurança da Microsoft 4053440

Abrindo com segurança documentos do Microsoft Office que contêm campos de Troca Dinâmica de Dados (DDE)

Publicado em: 8 de novembro de 2017 | Atualizado em: 12 de dezembro de 2017

Versão: 2.0

Visão geral

Sinopse

A Microsoft está lançando este comunicado de segurança para fornecer informações sobre as configurações de segurança para aplicativos do Microsoft Office. Este comunicado fornece orientação sobre o que os usuários podem fazer para garantir que esses aplicativos sejam devidamente protegidos ao processarem campos de Troca Dinâmica de Dados (DDE).

Sobre a troca dinâmica de dados

O Microsoft Office fornece vários métodos para transferir dados entre aplicativos. O protocolo DDE é um conjunto de mensagens e diretrizes. Ele envia mensagens entre aplicativos que compartilham dados e usa memória compartilhada para trocar dados entre esses aplicativos. Os aplicativos podem usar o protocolo DDE para transferências de dados únicas e para trocas contínuas em que os aplicativos enviam atualizações entre si à medida que novos dados se tornam disponíveis.

Cenário

Em um cenário de ataque por email, um invasor pode alavancar o protocolo DDE enviando um arquivo especialmente criado ao usuário e depois convencê-lo a abrir o arquivo, geralmente por meio de um atrativo em um email. O invasor teria que convencer o usuário a desabilitar o Modo Protegido e clicar em um ou mais prompts adicionais. Como anexos de email são um método primário que um invasor poderia usar para espalhar malware, a Microsoft recomenda que os clientes tenham cautela ao abrir anexos de arquivo suspeitos.

Chaves de controle de recursos DDE

O Microsoft Office fornece várias chaves de controle de recursos que são armazenadas no registro e são responsáveis por modificar a funcionalidade do produto, melhorar o suporte aos padrões da indústria e reforçar a segurança. A Microsoft documentou essas chaves de controle de recursos e recomenda a habilitação específica de algumas delas por motivos de segurança. Consulte o seguinte:

A Microsoft incentiva todos os usuários do Microsoft Office a rever as chaves de controle de recursos relacionados à segurança e a habilitá-los. Definir as chaves do Registro descritas nas seções a seguir desabilita a atualização automática de dados de campos vinculados. 

Atualização Em 12 de dezembro de 2017, a Microsoft lançou uma atualização para todas as edições com suporte do Microsoft Word, que permite aos usuários definir a funcionalidade do protocolo DDE com base em seus ambientes. Para obter mais informações e baixar a atualização, consulte ADV170021.

Mitigando cenários de ataque DDE

Os usuários que desejam tomar medidas imediatas podem proteger-se criando e definindo entradas do Registro manualmente para o Microsoft Office. Use as seguintes instruções para configurar as chaves do Registro com base nos aplicativos do Office instalados no seu sistema.

Aviso: A utilização incorreta do Editor do Registro é capaz de provocar problemas graves que poderão forçar a reinstalação do sistema operacional. A Microsoft não garante a solução de problemas resultantes do uso incorreto do Editor do Registro. Use o Editor do Registro por sua própria conta e risco.

A Microsoft recomenda que você faça backup do seu Registro do Windows antes de fazer alterações nas entradas do Registro.


Microsoft Excel

O Excel depende do recurso DDE para iniciar documentos.

Para evitar a atualização automática de links do Excel (incluindo DDE, OLE e células externas ou referências de nomes definidos), consulte a tabela a seguir para a cadeia de versão da chave do Registro a ser definida para cada versão:

Versão do Office

Cadeia da chave do Registro <versão>

Office 2007

12.0

Office 2010

14.0

Office 2013

15.0

Office 2016

16.0


  • Para desabilitar o recurso DDE na interface do usuário:

    Defina Arquivo->Opções->Central de Confiabilidade->Configurações do Centro de Confiabilidade...->Conteúdo Externo->Configurações de segurança para Links de Pasta de Trabalho = Desabilitar atualização automática de Links de Pasta de Trabalho.

  • Para desabilitar o recurso DDE na Editor do Registro:
    [HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Excel\Security]
    WorkbookLinkWarnings(DWORD) = 2
    

Impacto da mitigação: Desabilitar esse recurso pode impedir que as planilhas do Excel sejam dinamicamente atualizadas se desabilitadas no Registro. Os dados podem não estar completamente atualizados porque não estão mais sendo atualizados automaticamente por meio de feed ao vivo. Para atualizar a planilha, o usuário deve iniciar manualmente o feed. Além disso, o usuário não receberá instruções para lembrá-los de atualizar manualmente a planilha.

Microsoft Outlook

Consulte a tabela a seguir para a cadeia da versão da chave do Registro a ser definida para cada versão do Office:

Versão do Office

Cadeia da chave do Registro <versão>

Office 2010

14.0

Office 2013

15.0

Office 2016

16.0


  • Para o Office 2010 e versões posteriores, para desabilitar o recurso DDE através do Editor do Registro:
    [HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Word\Options\WordMail]
     DontUpdateLinks(DWORD)=1
    
  • Para o Office 2007, desabilite o recurso DDE por meio do Editor do Registro
    [HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Options\vpref]
    fNoCalclinksOnopen_90_1(DWORD)=1
    

Impacto da mitigação: Definir essa chave do Registro desativará a atualização automática para o campo DDE e os links OLE. Os usuários ainda podem habilitar a atualização clicando com o botão direito do mouse no campo e clicando em "Atualizar Campo".

Microsoft Publisher

Um documento do Word que usa o protocolo DDE inserido em um documento do Publisher pode ser um vetor de ataque. Você pode ajudar a evitar esse vetor de ataque aplicando a modificação da chave do Registro do Word. Consulte a seção a seguir para obter os valores da chave do Registro do Word.

Microsoft Word

Consulte ADV170021 para obter uma atualização para o Microsoft Word que permite aos usuários definir a funcionalidade do protocolo DDE com base em seus ambientes.

Consulte a tabela a seguir para a cadeia da versão da chave do Registro a ser definida para cada versão do Office:

Versão do Office

Cadeia da chave do Registro <versão>

Office 2010

14.0

Office 2013

15.0

Office 2016

16.0


  • Para o Office 2010 e versões posteriores, para desabilitar o recurso DDE através do Editor do Registro:
    [HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Word\Options]
    DontUpdateLinks(DWORD)=1
    
  • Para o Office 2007, desabilite o recurso DDE por meio do Editor do Registro
    [HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Options\vpref]
    fNoCalclinksOnopen_90_1(DWORD)=1
    

Impacto da mitigação: Definir essa chave do Registro desativará a atualização automática para o campo DDE e os links OLE. Os usuários ainda podem habilitar a atualização clicando com o botão direito do mouse no campo e clicando em "Atualizar Campo".


Windows 10 Fall Creators Update (versão 1709)

Os usuários da Windows 10 Fall Creators Update podem utilizar o Windows Defender Exploit Guard para bloquear malware com base em DDE com regras de Redução da Superfície de Ataque (ASR).

A ASR é um componente no Windows Defender Exploit Guard que fornece às empresas um conjunto de inteligência incorporada que pode bloquear os comportamentos subjacentes usados por documentos mal-intencionados para executar ataques sem prejudicar a operação do produto. Com o bloqueio de comportamentos mal-intencionados independentes da ameaça ou exploração, a ASR pode proteger empresas contra ataques de dia zero nunca visto antes como essas vulnerabilidades recém-descobertas: CVE-2017-8759, CVE-2017-11292 e CVE-2017-11826.

Para aplicativos do Office, a ASR pode:

  • Impedir que aplicativos do Office criem conteúdo executável
  • Impedir que aplicativos do Office iniciem processos filhos
  • Impedir que aplicativos do Office injetem em processos
  • Impedir importações do Win32 do código da macro no Office
  • Bloquear código da macro ocultado

Explorações emergentesm como DDEDownloader, usam o pop-up de Troca Dinâmica de Dados en documentos do Office para executar um downloader do PowerShell. No entanto, ao fazerem isso, elas iniciam um processo filho que é bloqueado pela regra de processo filho correspondente.

O Windows Defender Exploit Guard pode ser usado com a Proteção Avançada contra Ameaças do Windows Defender (ATP) para investigar e responder a riscos e problemas de segurança em nível corporativo. Para saber mais sobre o Windows Defender Exploit Guard e a ATP do Windows Defender, consulte:

A Microsoft está pesquisando esse problema e postará mais informações neste artigo quando assim que estas forem disponibilizadas.

Ações adicionais sugeridas

  • Proteja seu PC
    Continuamos a incentivar nossos clientes a seguir nossa orientação de proteger o computador por meio de habilitação do firewall, obtenção de atualizações de software e instalação de software antivírus. Para obter mais informações, consulte o Centro de Segurança e Proteção Microsoft.
  • Mantenha os softwares da Microsoft atualizados
    Todos os usuários que executam software da Microsoft devem aplicar as mais recentes atualizações de segurança da Microsoft para ter certeza de que seus computadores estejam protegidos ao máximo. Se você não sabe ao certo se o seu computador está atualizado, visite o Microsoft Update, verifique se há atualizações disponíveis para o computador e instale as atualizações de alta prioridade oferecidas. Se atualizações automáticas estiverem habilitadas e configuradas para fornecer atualizações para produtos Microsoft, as atualizações serão fornecidas a você quando forem lançadas, mas você deverá verificar se elas estão instaladas.

Outras informações

Aviso de isenção de responsabilidade

As informações oferecidas neste documento são fornecidas "como estão" sem garantia de nenhum tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (8 de novembro de 2017): Comunicado publicado.
  • V1.1 (30 de novembro de 2017): Atualização da seção Windows 10 Fall Creators Update com mais informações sobre as regras de Redução da Superfície de Ataque (ASR). Esta é apenas uma alteração informativa.
  • V2.0 (12 de dezembro 2017): A Microsoft lançou uma atualização para todas as edições com suporte do Microsoft Word, que permite aos usuários definir a funcionalidade do protocolo DDE com base em seus ambientes. Para obter mais informações e baixar a atualização, consulte ADV170021.

Página gerada em 2017-12-07 12:30-08:00.
Mostrar: