未修补的Microsoft Word DDE漏洞被广泛用于恶意软件攻击

上周，我们报道了黑客如何利用Microsoft Office的一个名为动态数据交换（DDE）的旧功能，在目标设备上执行恶意代码，而不需要启用宏或内存损坏。

DDE协议是微软允许两个运行中的应用程序共享相同数据的几种方法之一。

包括MS Excel、MS Word、Quattro Pro和Visual Basic在内的数千个应用程序正在使用该协议进行一次性数据传输，并进行连续交换，以便相互发送更新。

DDE攻击技术不会向受害者显示“安全”警告，只是询问他们是否要执行命令，虽然“通过适当的语法修改”也可以消除此弹出警报
DDE攻击技术的细节公布后不久，思科的Talos threat research group发布了一份报告，报告称，一场攻击活动在野外积极利用这种攻击技术，用名为德斯梅辛格。

Necurs僵尸网络使用DDE攻击传播Locky勒索软件

现在，已经发现黑客使用Necurs僵尸网络，恶意软件目前控制着全球超过600万台受感染的计算机，并发送数百万封电子邮件，据SANS ISC报道，利用Word文档，利用新发现的DDE攻击技术，分发Locky勒索软件和TrickBot银行特洛伊木马。

Locky勒索软件黑客以前依赖于基于宏的诱杀MS Office文档，但现在他们更新了Nercus僵尸网络，通过DDE漏洞发送恶意软件，并获得了拍摄受害者桌面截图的能力。

赛门铁克在一篇博客文章中说：“这一波新浪潮的有趣之处在于，下载程序现在包含了从受害者那里收集遥测数据的新功能”。“它可以获取屏幕抓取并将其发送回远程服务器。还有一个错误报告功能，可以将下载程序在尝试执行其活动时遇到的任何错误的详细信息发送回”。

使用DDE攻击的Hancitor恶意软件

安全研究人员发现的另一个单独的恶意软件垃圾邮件活动也被发现使用Microsoft Office DDE漏洞分发Hancitor恶意软件（也称为Chanitor和Tordal）。
Hancitor是一种下载程序，可在受感染的计算机上安装银行特洛伊木马、数据盗窃恶意软件和勒索软件等恶意有效载荷，通常在钓鱼电子邮件中以支持宏的MS Office文档的形式发送。

如何保护自己免受Word DDE攻击？

由于DDE是微软的合法功能，大多数防病毒解决方案不会用DDE字段标记任何警告或阻止MS Office文档，这家科技公司也没有计划发布一个补丁来删除其功能。

因此，通过禁用MS Office程序中的“打开时更新自动链接”选项，您可以保护自己和您的组织免受此类攻击。

要做到这一点，请打开Word，选择文件，选项，“高级”并向下滚动至“常规”，然后取消选中“在打开时更新自动链接。”

然而，保护自己免受此类攻击的最佳方法是始终对通过电子邮件发送的任何未经邀请的文档持怀疑态度，并且除非充分验证其来源，否则永远不要点击这些文档中的链接。