Senaste veckan har det rapporterats om en attack mot Microsoft Word, där en attacker kan köra kommandon och program utan att bifoga macros som i princip alltid krävts tidigare. Dessvärre är det till och med värre än vad det skrivits om på många andra ställen, då även Outlook verkar vara sårbart för den här attacken, utan att ens bifoga en fil eller macros som sagt.

Det räcker att klicka på svara/reply på mailet så kommer koden att köras, visserligen efter att man har fått två (!) varningar som man måste klicka förbi. Tyvärr vet jag att en stor majoritet av användarna skulle klicka vidare utan ens läsa varningstexten. Vi har länge nu varnat användare för att inte klicka på bifogade filer om man är osäker, men med den här attacken tar det en ny twist.

Den här metoden – via Word – används redan för att få in ransomware och trojaner utan att antivirus eller annat reagerar på det som något farligt.


DDE (Dynamic Data Exchange) är ingen sårbarhet, det är en feature och alltså ingenting som Microsoft kommer ändra på. DDE har funnits sedan tidigt 90-tal ungefär. Till Microsofts försvar så får användaren upp ett flertal varningar där man tillfrågad om man verkligen vill köra dessa kommandon. Det skulle i mina ögon dock kunna vara ännu tydligare varningar.
För mer information om DDE så finns Microsofts MSDN där det beskrivs.

Windows provides several methods for transferring data between applications. One method is to use the Dynamic Data Exchange (DDE) protocol. The DDE protocol is a set of messages and guidelines. It sends messages between applications that share data and uses shared memory to exchange data between applications. Applications can use the DDE protocol for one-time data transfers and for continuous exchanges in which applications send updates to one another as new data becomes available.

Såhär gör man för att genomföra attacken i MS Word, och efter det även hur man genomför den i Outlook.

  1. I ditt Word-dokument, klicka på Infoga -> Snabbdelar -> Fält

  2. Välj ”= {Formula]” högst upp och klicka på OK
  3. På textraden sin infogades, högerklicka och välj ”Växla fältkoder”
  4. Mellan {} så klistrar du in vad som ska köras, tex: DDEAUTO c:\\windows\\system32\\cmd.exe ”/k calc.exe”
  5. Det är allt som krävs. Spara som .docx och prova öppna det igen så kommer följande punkter hända.
  6. Direkt när dokumentet öppnas kommer DDE koden att köras, och den första varningen kommer upp.
  7. Varning nummer två kommer upp, här står det klart och någorlunda tydligt att calc.exe kommer köras genom cmd.exe
  8. När båda varningar har ignorerats och man tryckt sig vidare, så startar kalkylatorn (eller annan valfri kod som attackeraren väljer att köra).

Men det som är ännu mer farligt är hur lätt detta är att få in i Outlook.

  1. Skapa ett nytt mail,
  2. Klistra in koden från Word-dokumentet vi skapade tidigare och uppmana mottagaren att svara på mailet.
  3. Ta emot mailet och klicka på svara/reply så kommer koden att köras och kalkylatorn öppnas.
    Uppdatering: Det verkar inte som att det här fungerar för alla i Outlook, som tur är.

Så hur skyddar jag mig mot detta?

Det snabbaste och enklaste sättet för att skydda sig mot detta i ett Word-dokument är att ändra följande registervärde till 1:HKCU\Software\Microsoft\Office\XX.Y\Word\Options\DontUpdateLinks = REG_DWORD 0x01

Dessvärre skulle det möjligtvis kunna påverka viss funktionalitet i andra Word-dokument där länkar uppdateras automatiskt, eller där DDE faktiskt används på ett bra sätt. Men det är en övervägning man får göra.

Vad jag vet finns inget registervärde för att ändra detta i Outlook tyvärr, så denna fix är enbart för Word.

Går detta att detektera?

Ja det går att hitta när detta kommer in. Dels via Yara-regler eller Microsofts eventloggar.

Nvisio labs har skrivit 2 Yara-regler för att hitta detta, för fullständig info gå till: https://blog.nviso.be/2017/10/11/detecting-dde-in-ms-office-documents/

Det skapas som sagt även eventloggar med ett Event ID 300 när detta inträffar.

  1. Öppna Windows Event Viewer, klicka till Applications and Services Logs -> Microsoft Office Alerts
  2. Klicka på en alert för att se mer information, där hittar vi ”Vill du starta programmet …” vilket är en tydlig indikation på att kan vara nåt värt att titta mer på.

 

Allmänna säkerhetstips som avslutning

  • Får du ett Word-dokument av någon du inte känner igen är det bättre att låta det vara oöppnat.
  • Stäng aldrig av säkerhetskontroller eller som i detta fall där du får två varningsfönster där du måste klicka Ja för att svara på ett mail, så tänk till en gång extra och godkänn inte förfrågan.