Microsoft Sicherheits-Ratschlag 4053440 zur DDE-Lücke

Microsoft hat das Security Advisory 4053440 zur Dynamic Data Exchange (DDE)-Schwachstelle in Microsoft Office veröffentlicht. Hier ein paar Informationen zum Thema. Ergänzung: Die Schwachstelle wird aktiv von der russischen Hackergruppe Fancy Bear in Malware-Kampagnen ausgenutzt.


Werbung



Worum geht es bei der DDE-Lücke?

Microsoft Office stellt verschiedene Methoden zur Verfügung, um Daten zwischen Anwendungen zu übertragen. Das DDE-Protokoll ist eine Sammlung von Meldungen und Richtlinien. Es sendet Nachrichten zwischen Anwendungen, die Daten gemeinsam nutzen, und verwendet Shared Memory, um Daten zwischen Anwendungen auszutauschen. Anwendungen können das DDE-Protokoll für den einmaligen Datentransfer und für den kontinuierlichen Austausch nutzen, bei dem Anwendungen sich gegenseitig Aktualisierungen senden, sobald neue Daten zur Verfügung stehen.

In den Microsoft Office-Modulen, die die DDE-Schnittstelle unterstützen gibt es eine Schwachstelle. Im Blog-Beitrag Word DDE-Schwachstelle wird aktiv ausgenutzt hatte ich darauf hingewiesen, dass es wohl Malware-Angriffswellen gibt, die eine DDE-Schwachstelle in Microsoft Word ausnutzen, um Schadsoftware zu verteilen. Es reicht eine kompromittierte Word-Dokumentdatei zu öffnen, um über die DDE-Schnittstelle die Malware herunterzuladen und auszuführen.

Das Security Advisory 4053440

Am 8. November 2017 hat Microsoft den folgenden Sicherheitsratschlag, der sich mit der DDE-Problematik befasst, veröffentlicht.

Microsoft Security Advisory 4053440
– Title: Securely opening Microsoft Office documents that contain
Dynamic Data Exchange (DDE) fields
https://technet.microsoft.com/library/security/4053440.aspx
– Executive Summary: Microsoft is releasing this security
advisory to provide information regarding security settings for
Microsoft Office applications. This advisory provides guidance on
what users can do to ensure that these applications are properly
secured when processing Dynamic Data Exchange (DDE) fields.
– Originally posted: November 8, 2017
– Updated: N/A
– Version: 1.0

Im betreffenden Technet-Dokument geht Microsoft noch detaillierter auf die Problematik ein zu zeigt, wie man den DDE-Mechanismus in Excel, Word, Outlook etc. per Registrierungseditor oder im Trust Center deaktivieren kann.

Ergänzung: Russische Hacker Fancy Bear nutzen die Lücke

Noch eine kurze Ergänzung – die russische Hackergruppe Fancy Bear nutzt die DDE-Lücke wohl gezielt für Malware-Attacken aus. Details lassen sich bei The Hacker News in diesem Artikel nachlesen.

Ähnliche Artikel:
Word DDE-Schwachstelle wird aktiv ausgenutzt
Sicherheit: Outlook patzt, Malware trotz Office Makrosperre ausführbar

Undokumentiertes Word-Features für Angriffe benutzt
Exploit für Microsoft PowerPoint trickst Antivirus aus
Zusy PowerPoint-Malware: Download durch Zeigen auf Link


Werbung

Dieser Beitrag wurde unter Office, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Kommentare zu Microsoft Sicherheits-Ratschlag 4053440 zur DDE-Lücke

  1. Herr IngoW sagt:

    Muss ich als Privater Nutzer das so ändern oder nur Betriebe/Firmen.

    • Günter Born sagt:

      Ich werde da nichts machen (gelegentlich brauche ich die DDE-Funktionen) – da ich die entsprechende Aufmerksamkeit bei mir voraussetzen kann. Ich akzeptiere keine Word-/Office-Dateien von Absendern, die Dritte mir per Mail-Anhang zukommen lassen, und wo ich den Zweck nicht a priori kenne.

      Die Entscheidung muss jeder selbst fällen. Wenn in der Familie viele Leute sind, die auf alles klicken, was bei 3 nicht vom Screen verschwunden ist, würde ich anders vorgehen als wenn nur einer mit Sinn und Verstand aktiv ist und niemals Word-Anhänge per E-Mail erhält.

  2. Peter sagt:

    Du musst natürlich nicht.
    Aber wenn du diese Sicherheitslücke schließen möchtest, solltest du.
    Auch als Privatmann.

    Es sei denn, du benötigst die DDE-Funktionalität unbedingt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.