Af Torben B. Sørensen, 24/10/17
Sikkerhedsforskere har set flere eksempler på skadelig software, der udnytter en nyopdaget metode til at afvikle kommandoer fra Office-dokumenter.
Metoden blev først set i Word, men siden har forskere opdaget, at den også kan aktiveres i Outlook. Den går ud på at indlejre et DDE-felt (Dynamic Data Exchange), der kalder en kommando.
Senest er botnettet Necurs begyndt at bruge metoden til at sprede ransomwareprogrammet Locky. Det sker via e-mails med vedhæftede Word-dokumenter.
Hvis modtageren åbner dokumentet, viser Word en advarsel om, at det indeholder felter, som kan referere til andre filer. Hvis man siger ja til at opdatere felterne, kommer der endnu en advarsel. Siger man også ja her, hentes et program, som derefter henter Locky.
Anbefaling
Undlad at åbne vedhæftede filer, du får tilsendt uopfordret. Hvis du alligevel åbner et dokument, så svar nej til at opdatere felter og køre filer.
Hvis du ikke har brug for DDE-funktionen, kan du slå den fra i Windows via registreringsnøgler.
Links
- Necurs Botnet malspam pushes Locky using DDE attack, SANS Internet Storm Center
- Watch out for Microsoft Word DDE nasties: Now Freddie Mac menaced, artikel fra The Register
- New phishing campaign uses 30-year-old Microsoft mess as bait, artikel fra The Register
- Locky Uses DDE Attack for Distribution, artikel fra SecurityWeek
- Necurs-Based DDE Attacks Now Spreading Locky Ransomware, artikel fra Kaspersky Threatpost
- Office DDE attack works in Outlook too – here’s what to do, blogindlæg fra Sophos
- Abusing Microsoft Office DDE, blogindlæg af Mike Czumak
- Disable DDEAUTO for Outlook, Word, OneNote, and Excel versions 2010, 2013, 2016, Github
- Word kan afvikle kode uden brug af makroer, DKCERT, 12-20-2017