微软Word 的DDE漏洞遭利用

作者：Swati Khandelwal

翻译：360代码卫士团队

DDE协议能让两个运行的应用程序共享相同的数据。数千款app都在使用这个协议，包括MS Excel、MS Word、Quattro Pro和Visual Basic等，用于一次性数据传输并用于互相持续地传输更新。

DDE利用技术并不会向受害者显示“安全”警告，除了询问受害者是否会在命令中执行这个应用程序外——而这种弹出警告也可“通过正确的句法修改”将其删除。

DDE攻击技术详情披露后，思科公司的Talos安全团队发布了一份关于利用该技术的攻击活动。这次活动通过名为DNSMessenger的无文件远程访问木马针对多个组织机构发起攻击。

Locky勒索软件黑客此前依靠的是启用了宏的恶意MSOffice文档，不过他们现在已更新Nercus僵尸网络，通过DDE利用代码传播恶意软件，并能够抓取受害者的桌面截屏。

另外一款恶意软件垃圾活动通过微软OfficeDDE利用代码传播Hancitor恶意软件（也被称为“Chanitor”和“Tordal”）。

Hancitor是一款下载器，能在受感染机器中安装恶意payload如银行木马、数据窃取恶意软件和勒索软件，并且通常会在钓鱼邮件中作为一个启用宏的MSOffice文档传播。

由于DDE是微软的一个合法功能，因此多数杀毒解决方案并不会发出任何警告信息或者拦截带有DDE字段的MS Office文档，而且微软并未打算发布补丁删除这个功能。

因此，用户可禁用MSOffice程序中的“打开时更新自动链接”选项即可。具体操作方式是打开Word→选择“文件”→高级选项并拉到“通用”选项之后取消“打开时更新自动链接”勾选即可。

不过，最好的方法是警惕任何通过邮件发送的不明文档，并且在未经验证来源的前提下不要点击文档中的链接。