マイクロソフトがWordのDDE機能をデフォルトでDisableに。月例パッチで自動適用。
マイクロソフトは12月の月例パッチを公開し、WordのDDE機能をデフォルトで”Disable”設定に変更。
DDE機能とは
DDEはDynamic Data Exchangeの略で、Officeの機能の1つ。
DDEを使用する事で、あるOfficeのファイルが別のOfficeファイルのデータを動的に取得する事が出来る。
例えばExcelで編集したテーブルををWordで参照したとしよう。
DDEは動的にデータを取得する事が出来るため、元ファイルであるExcelのテーブルデータに変更があった場合も、Wordファイルに変更が反映される。
既にマイクロソフトはDDEの上位互換としてObject Linkingという機能を実装したが、DDEは今もなおOffce製品に実装されている。
DDE機能を悪用してマルウェア拡散
2017年10月、SensePostのセキュリティ研究者は、DDEを悪用してマルウェア拡散する手順を公開した。
ハッカー集団のFIN7は、SensePostの手順公開から僅かな時間でその手法を起用。金融機関に対して早速攻撃を仕掛けた。
FIN7とは、金融機関に対してサイバー攻撃を仕掛けたり、マルウェアの拡散者として知られるハッカー集団である。
この時点ではマイクロソフトはDDEをOffice製品の脆弱性として見なしていなかった。
マイクロソフトがDDEを悪用したサイバー攻撃を「セキュリティを侵す機能」として扱わなかったのは、Office製品がファイルを開く際に「確認メッセージ」を表示する事が理由だった。
マイクロソフトにとって、DDEを悪用したエクスプロイトは、あくまで「(攻撃者が)公式の機能を悪用した”クリエイティブな手法”として捉えていたと言える。
12月の月例パッチDDEをデフォルトで”Disable”に
10月のFIN7によるエクスプロイトを皮切りに、DDEを悪用した手法が拡散され、DDEを悪用したエクスプロイトが行われるようになった。
10月半ばにはマイクロソフトは徐々に考え方を改め始め、SecurityAdvisory 4053440にはDDE機能を”Disable”にする方法を記載した。
そして1ヶ月強が経った今週の火曜日に、マイクロソフトはWordのDDE機能をデフォルトでDisableする決断を下した。
このアップデートを適用すると、Windowsシステムにレジストリキーを追記され、WordのDDEがデフォルトで”Disable”される。
ユーザーがDDE機能を必要とする場合は?
万が一、ユーザーがWordにDDE機能を必要としている場合は以下の選択肢がある。
GUIで設定変更したい場合は、Security Advisory 4053440を参照してもらいたい。
以下には、「1.レジストリキーを編集する」の手順を記載しておく。
- レジストリエディタを開く
- \HKEY_CURRENT_USER\Software\Microsoft\Office\version\Word\Security AllowDDE(DWORD)を表示
- DWORDの値を希望に沿って変更する。
| AllowDDE(DWORD) = 0 | DDE機能を”Disable”にする。※12月の月例パッチを行えばデフォルト設定されている |
| AllowDDE(DWORD) = 1 | 既に実行しているプログラムのみDDE機能を”Enable”する。それ以外の.exeプログラムの起動を伴うDDEリクエストは破棄される |
| AllowDDE(DWORD) = 2 | 完全にDDE機能を”Enable”にする |
既にサポートアウトしているWord 2003や2007に対してもパッチを提供している事から、マイクロソフトの本気度が伺えるだろう。
