被微软认为不重要的Office DDE漏洞已经开始遭到利用

上月末思科安全研究人员发现Microsoft Office 动态数据交换功能DDE允许攻击者在目标设备执行任意代码。

该功能无需用户启用宏命令或者内存溢出等问题即可展开攻击，但微软认为这个不是安全问题因此并未修复。

该公司认为DDE只是功能而非安全问题因此无法删除或修复，但可以在未来使用DDE功能时向用户发出提醒。

但正如思科安全研究人员预料的那样：目前已经有众多黑客组织开始利用该问题向目标设备进行鱼叉式攻击。

动态数据交换功能DDE介绍：

该功能内置于Microsoft Office软件的系列组件之中，受影响的包括Word、Excel甚至 Visual Basic 等软件。

DDE 主要是微软用来允许两个正在使用的应用程序共享数据的方式，在使用该功能时 Office 会弹出提醒来。

但是这个提醒允许特定文档制作者通过修改语法的形式进行修改，因此可以诱导用户点击确定允许DDE执行。

众多黑客组织开始利用该问题：

迈克菲的安全研究人员本周公布的分析报告显示，目前已经有众多黑客组织利用该问题进行鱼叉式钓鱼攻击。

所谓鱼叉式钓鱼攻击即只针对某个人或者其设备而非普遍性的入侵，因此攻击者通常都是为了机密信息而来。

由于DDE本身是Microsoft Office系列软件的合法功能，所以绝大多数安全软件不会阻止DDE字段文档运行。

而用户打开攻击者特制文档并允许运行DDE功能后，文档里内嵌的代码会运行并连接远程服务器下载新病毒。

例如迈克菲研究人员已经监测到借助DDE功能感染并下载的新网络间谍软件包括X-Agent 以及Sedreco等等。

微软不处理只能依靠用户自己了：

由于微软认为这并不是安全问题因此没有发布解决方案，只是说未来会更新运行DDE功能时的安全提醒内容。

用户而言如果担心安全的话可以自己先禁用，禁用后即使遇到特定文档也不会自动打开DDE运行确认对话框。

使用的是Microsoft Office 2016可以打开Word---文件---选项---高级---常规---取消勾选打开时自动更新链接。

对于Excel 2016同样位于文件---选项---高级---常规---取消勾选请求自动更新链接，或者直接修改注册表禁用。

直接通过注册表禁用DDE数据交换功能：

手动修改麻烦的话可以直接使用Github上开发者维护的注册表，可直接禁用掉 Office 系列软件的 DDE 功能。

更新：通过注册表禁用DDE功能后直接打开Excel文档等都会打不开，但通过点击Excel 的文件---打开则正常。

如果你使用了该注册表导致你的操作麻烦增加请使用开启 DDE 注册表，该注册表将会开启所有的 DDE 功能。

（开）下载该注册表后双击打开合并即可：https://dl.lancdn.com/landian/Regedit/Enable_DDEAuto.reg

（关）下载该注册表后双击打开击合并 ：https://dl.lancdn.com/landian/Regedit/Disable_DDEAuto.reg

或者前往 Github 上下载：https://gist.github.com/wdormann/732bb88d9b5dd5a66c9f1e1498f31a1b

注：注册表仅支持Microsoft Office 2016、Microsoft Office 2013、Microsoft Office 2010及 Office 365。