MS Office内置功能允许在不启用宏的情况下执行恶意软件

思科Talos threat research group的安全研究人员发现了一个这样的攻击活动，它传播的是装有恶意软件的Microsoft Word文档，这些文档在目标设备上执行代码时不需要启用宏或内存损坏。

周一，来自Sensepost、Etienne Stalmans和Saif El Sherei的两位安全研究人员详细介绍了MSWord技术中的这种无宏代码执行，该技术利用MS Office的一个内置功能，称为动态数据交换（DDE），来执行代码。

动态数据交换（DDE）协议是Microsoft允许两个运行的应用程序共享相同数据的几种方法之一。应用程序可以使用该协议进行一次性数据传输，并在新数据可用时进行连续交换，其中应用程序会向彼此发送更新。
数以千计的应用程序使用DDE协议，包括Microsoft的Excel、MS Word、Quattro Pro和Visual Basic。

研究人员描述的这种利用技术没有向受害者显示“安全”警告，只是询问他们是否想要执行命令，然而，研究人员说，“通过适当的语法修改”，这种弹出警报也可以被消除。
两人还提供了一段演示该技术的概念验证视频。

MS Word DDE攻击在野外被积极利用

正如思科研究人员所描述的那样，黑客们发现这项技术在野外被积极利用，利用矛式网络钓鱼邮件攻击多个组织，这些邮件被欺骗，使它们看起来像是由美国证券交易委员会（SEC）发送的，并说服用户打开它们。

塔洛斯研究人员发布的一篇博文写道：“电子邮件本身包含一个恶意附件[MS Word]，打开后会启动一个复杂的多阶段感染过程，导致感染DNSMessenger恶意软件”。

3月初，塔洛斯研究人员发现袭击者分布在德斯梅辛格—一种完全无文件的远程访问特洛伊木马（RAT），使用DNS查询在受损计算机上执行恶意PowerShell命令。
一旦打开，受害者会收到一条消息，通知他们文档包含指向外部文件的链接，要求他们允许或拒绝检索和显示内容。
如果允许，恶意文档将与攻击者托管的内容进行通信，以便检索将被执行以发起DNSMessenger恶意软件感染的代码。

研究人员说：“有趣的是，该恶意文档使用的DDEAUTO字段检索到了攻击者最初在路易斯安那州政府网站上托管的代码，该网站似乎已被泄露并用于此目的”。

如何保护自己并检测MS Word DDE攻击

还有什么更让人担心？微软并不认为这是一个安全问题，而是根据该公司，DDE协议是一个不能被移除的特性，但可以改进，并在将来为用户提供更好的警告警报。

虽然没有直接的方法来禁用DDE代码执行，但用户可以主动监视系统事件日志以检查可能的攻击。
除此之外，NVISO实验室的研究人员还分享了两条YARA规则，用于检测Office开放XML文件中的DDE向量。

保护自己免受此类恶意软件攻击的最佳方法是始终对通过电子邮件发送的任何未经邀请的文档持怀疑态度，并且除非正确验证其来源，否则永远不要点击这些文档中的链接。