Deshabilite Office DDEAUTO para mitigar los ataques

Actualmente, existe una vulnerabilidad en DDE en las aplicaciones de Office que se explota activamente en la naturaleza. DDE, o Dynamic Data Exchange, es una característica de Microsoft Office diseñada para brindar a las aplicaciones la capacidad de intercambiar datos entre sí.

Puede utilizar DDE, por ejemplo, para actualizar una tabla en un documento de Word utilizando datos de Excel.



El protocolo es muy utilizado, no solo en aplicaciones de Microsoft Office como Word o Excel, sino también en Visual Basic y muchas más.

Lo que hace que la vulnerabilidad sea particularmente preocupante es que no requiere macros. La ola actual de ataques utiliza el correo electrónico para distribuir documentos de Office manipulados.

Usuarios que ejecutan estos documentos obtener mensajes de advertencia en Office. Word, por ejemplo, muestra la advertencia 'Este documento contiene enlaces que pueden hacer referencia a otros archivos. ¿Quiere actualizar este documento con los datos de los archivos vinculados?

ddeauto word security

La mayoría de las aplicaciones de seguridad no detectan ninguna amenaza cuando se trata de estos documentos de Office. Si bien los usuarios pueden proteger sus datos seleccionando 'no' cuando se muestran las indicaciones, es posible que desee agregar una capa de protección a esto para proteger los sistemas, independientemente de las elecciones que tomen los usuarios cuando encuentren estos documentos maliciosos.



Obviamente, esta es solo una opción si no se requiere DDE en el entorno de trabajo. Si bien parece probable que no esté en la mayoría de los entornos domésticos, las empresas aún pueden usarlo y, como tal, es posible que no puedan desactivar la función por completo.

Disable DDEAuto es un archivo de registro que se mantiene en GitHub que deshabilita la funcionalidad de 'vínculos de actualización' y 'archivos incrustados' en los documentos de Office cuando se ejecuta.

Cubre Word, Excel, WordMail, OneNote y Excel, y escribe o edita claves del Registro para agregar protección. Tenga en cuenta que también puede habilitar la protección manualmente en Office (que establece las claves de registro en los valores del archivo de registro).

Si usa Microsoft Word 2016 o Microsoft Excel 2016, por ejemplo, seleccione Opciones> Avanzado y elimine la marca de verificación de 'Actualizar enlaces automáticos al abrir' que se encuentra debajo del grupo general en la página que se abre.

dde word

En Excel, es posible que también desee marcar 'Ignorar otras aplicaciones que utilizan Dynamic Data Exchange (DDE)'.



Política de grupo

Reemplace la versión 2016 de Excel o Word con la versión instalada en las máquinas que administra. Tenga en cuenta que necesita instalar el

Para Excel, encontrará las opciones en Plantillas administrativas> Microsoft Excel 2016> Opciones de Excel> Avanzadas.

  • Solicitar actualizar enlaces automáticos
  • Ignorar otras aplicaciones

Para Word, las opciones se encuentran en Plantillas administrativas> Microsoft Word 2016> Opciones de Word> Avanzadas.

  • Actualice los enlaces automáticos en Abrir.

Registro

Aquí está la lista de claves de registro para Word y Excel para su conveniencia. Consulte la página de GitHub si desea descargar el archivo de registro en su lugar.

Tenga en cuenta que es posible que deba crear los valores, ya que es posible que no existan de forma predeterminada:

Palabra 2016

  • Ruta: HKEY_CURRENT_USER Software Microsoft Office 16.0 Word Options
  • Valor: DontUpdateLinks
  • Dword: 00000001
  • HKEY_CURRENT_USER Software Microsoft Office 16.0 Word Options WordMail
  • Valor: DontUpdateLinks
  • Dword: 00000001

Palabra 2013

  • Ruta: HKEY_CURRENT_USER Software Microsoft Office 15.0 Word Options
  • Valor: DontUpdateLinks
  • Dword: 00000001
  • HKEY_CURRENT_USER Software Microsoft Office 15.0 Word Options WordMail
  • Valor: DontUpdateLinks
  • Dword: 00000001

Palabra 2010

  • Ruta: HKEY_CURRENT_USER Software Microsoft Office 14.0 Word Options
  • Valor: DontUpdateLinks
  • Dword: 00000001
  • HKEY_CURRENT_USER Software Microsoft Office 15.0 Word Options WordMail
  • Valor: DontUpdateLinks
  • Dword: 00000001

Excel 2016

  • Ruta: HKEY_CURRENT_USER Software Microsoft Office 16.0 Excel Options
  • Valor: DontUpdateLinks
  • Dword: 00000001
  • Ruta: HKEY_CURRENT_USER Software Microsoft Office 16.0 Excel Options
  • Valor: DDEAllowed
  • Dword: 00000000
  • Ruta: HKEY_CURRENT_USER Software Microsoft Office 16.0 Excel Options
  • Valor: DDECleaned
  • Dword: 00000001

Excel 2013

  • Ruta: HKEY_CURRENT_USER Software Microsoft Office 15.0 Excel Options
  • Valor: DontUpdateLinks
  • Dword: 00000001
  • Ruta: HKEY_CURRENT_USER Software Microsoft Office 15.0 Excel Options
  • Valor: DDEAllowed
  • Dword: 00000000
  • Ruta: HKEY_CURRENT_USER Software Microsoft Office 15.0 Excel Options
  • Valor: DDECleaned
  • Dword: 00000001

Nota: Según se informa, el valor siguiente no funciona. No tengo acceso a Excel 2013 o 2010 y no pude encontrar ninguna información sobre el valor.

  • Ruta: HKEY_CURRENT_USER Software Microsoft Office 15.0 Excel Options
  • Valor: Opciones
  • Dword: 00000117

Excel 2010

  • Ruta: HKEY_CURRENT_USER Software Microsoft Office 14.0 Excel Options
  • Valor: DontUpdateLinks
  • Dword: 00000001
  • Ruta: HKEY_CURRENT_USER Software Microsoft Office 14.0 Excel Options
  • Valor: DDEAllowed
  • Dword: 00000000
  • Ruta: HKEY_CURRENT_USER Software Microsoft Office 14.0 Excel Options
  • Valor: DDECleaned
  • Dword: 00000001

Nota: Según se informa, el valor siguiente no funciona. No tengo acceso a Excel 2013 o 2010 y no pude encontrar ninguna información sobre el valor.

  • Ruta: HKEY_CURRENT_USER Software Microsoft Office 14.0 Excel Options
  • Valor: Opciones
  • Dword: 00000117

Alguien en los comentarios dijo que el valor correcto es 279 en lugar de 117. Pruébelo y vea si funciona.