Microsoft désactive enfin la fonction DDE de Word pour empêcher de nouvelles attaques de logiciels malveillants
En octobre dernier, nous vous avons expliqué comment les chercheurs en sécurité avaient trouvé une nouvelle technique pour exécuter des logiciels malveillants dans Office sans utiliser les macros bien connues, en utilisant la fonction DDE, une fonction qui a ensuite été remplacée par du contenu OLE mais qui, pour des raisons de compatibilité, était toujours disponible dans la suite bureautique. Après avoir signalé ce bogue à Microsoft, la société a affirmé qu’il ne s’agissait pas d’un problème de sécurité, mais d’une fonction, et que ce n’était pas de leur faute si certains utilisateurs l’utilisaient avec de mauvaises intentions, ils n’avaient donc pas l’intention de rectifier leur décision. Heureusement, il semble que Microsoft y pense enfin, et cette fonctionnalité a été désactivée dans Word .
Cette même semaine, Microsoft a publié ses correctifs de sécurité pour décembre 2017, des correctifs avec lesquels il a corrigé toutes sortes de vulnérabilités dans les propres applications de l’entreprise. En plus de corriger ces vulnérabilités, l’un des correctifs publiés exclusivement pour Office désactive enfin la fonctionnalité DDE , empêchant les pirates de l’utiliser pour installer des logiciels malveillants.
Malgré le fait que Microsoft s’était assuré qu’aucun pirate informatique n’allait exploiter cette vulnérabilité, dès qu’elle a été signalée, les premiers cas où ils en ont profité n’ont pas tardé à apparaître, et il est beaucoup plus facile d’exécuter des logiciels malveillants. dans un ordinateur sans éveiller les soupçons avec DDE en utilisant, comme utilisé jusqu’alors, des macros, entièrement détectables et même bloquées par défaut dans la suite bureautique.
Lorsqu’un utilisateur exécutait un document Word malveillant, la routine DDE était automatiquement exécutée, se connectant à un serveur distant, téléchargeant un exploit, puis l’utilisant pour télécharger, installer et masquer les logiciels malveillants sur les ordinateurs des victimes. Tout cela, en plus, sans éveiller les soupçons.
Comment activer, désactiver ou configurer l’état de la fonction DDE
Les collègues de RedesZone nous ont déjà expliqué à leur époque comment nous pouvions désactiver manuellement DDE dans Word, ainsi que comment nous pourrions nous protéger de cette vulnérabilité avec les correctifs 0Patch.
Maintenant que Microsoft a finalement décidé de le réparer avec un correctif de sécurité pour Office, par défaut, si nous avons déjà téléchargé la mise à jour, nous serons protégés. De plus, si nécessaire, nous pouvons facilement réactiver la fonction grâce à l’entrée que l’entreprise a activée dans le registre.
Cette nouvelle entrée de registre se trouve dans le chemin «HKEY_CURRENT_USERSoftwareMicrosoftOfficeversionWordSecurityAllowDDE» et c’est une valeur DWORD qui, en fonction de la valeur que nous lui donnons, nous pouvons la faire fonctionner d’une manière ou d’une autre:
- 0 – DDE désactivé. Il s’agit de la valeur par défaut après la mise à jour de Windows.
- 1 – Autorise DDE d’un programme qui est déjà en cours d’exécution, mais empêche les programmes de s’exécuter.
- 2 – Autorise DDE sans restrictions.
Cette fonctionnalité, par défaut, est désactivée uniquement dans Word , mais Microsoft continuera à la maintenir active dans Excel et Outlook .
Maintenant que la fonction DDE est désactivée par défaut, du moins dans Word, les utilisateurs pourront ouvrir les documents de manière beaucoup plus sécurisée, évitant ainsi le risque de tomber entre les mains de hackers, même s’il ne faut jamais oublier notre bon sens.
Que pensez-vous que Microsoft a finalement bloqué les fonctions DDE de Word?
