به رغم تمامی حملاتی که اخیرا مشاهده شد که از ویژگی تبادل داده ی پویا (DDE) در آفیس بهره برداری می کردند و در برخی موارد حتی توزیع باج افزار نیز با این روش مشاهده شد، شرکت مایکروسافت همچنان پافشاری می کند که DDE یک ویژگی در آفیس است و آن را در قالب یک آسیب پذیری وصله نخواهد کرد.
با این حال، روز چهارشنبه مایکروسافت رضایت داده و راهنمایی را برای مدیران سیستم ارائه کرده و توضیح داده چطور با رجیستری جدید آفیس، این ویژگی را غیرفعال کنند. غیرفعال کردن این ویژگی باعث می شود تا تبادل داده بین برنامههای آفیس بهطور محدودتری انجام شود و این میتواند روی برنامههای آفیس مخصوصا اکسل تاثیر زیادی بگذارد چرا که یکی از ویژگیهای بارز اکسل بهروزرسانی اطلاعات براساس این تبادل داده است.
مایکروسافت میگوید DDE پروتکلی است که به برنامههای در حال اجرا اجازه میدهد در قالب یک حافظهی مشترک، برای یکدیگر پیام ارسال کرده و دادههای خود را به اشتراک بگذارند. مهاجمان سایبری هم که در ۱۸ ماه گذشته از اسناد آفیس حاوی ماکروهای مخرب برای توزیع بدافزار استفاده میکردند، به ویژگی DDE بهعنوان یک نصبکنندهی بهرهبرداری و بدافزار علاقهمند شدهاند.
مایکروسافت گفت: «در یک سناریوی حمله که مبتنی بر ایمیل است، مهاجم یک فایل جعلی آفیس را برای قربانی ارسال کرده و او را فریب میدهد تا این فایل آلوده را باز کند. مهاجم همچنین نیاز دارد تا کاربر را متقاعد کند تا حالت محافظتشده را غیرفعال کند.» مایکروسافت معتقد است توزیع بدافزار از طریق پیوست ایمیلها یکی از روشهای معمول در این حوزه است و به کاربران توصیه میکند در باز کردن این ضمیمهها بسیار هشیار باشند و احتیاط کنند.
در مشاورهنامهی مایکروسافت توصیه شده تا کاربران ویژگیهای امنیتی را در آفیس فعال کنند تا کلیدهای آفیس ۲۰۱۳ و ۲۰۱۶ را کنترل کنند و بهروزرسانی دادهها از فیلدهای لینک را که بهطور خودکار انجام میشود، غیرفعال کنند. مایکروسافت توضیح داده در اکسل چگونه می توان از طریق ویرایشگر رجیستری، ویژگی DDE را غیرفعال کرد.
مایکروسافت گفت: «غیرفعال کردن این ویژگی در اکسل، باعث میشود تا صفحه گستردههای این برنامه بهطور پویا بهروزرسانی نشوند. برای بهروزرسانی دادهها کاربر باید بهطور دستی این کار را انجام دهد. همچنین به کاربر اعلانی نمایش داده نخواهد شد که دادهها را به حالت دستی بهروزرسانی کند.»
مایکروسافت توصیه میکند کاربران در ویندوز ۱۰ از «ویندوز دیفندر اکسپلویت گارد» برای جلوگیری از آلودگی به بدافزارهای DDE استفاده کنند. مایکروسافت میگوید در این راهکار امنیتی بهویژه مولفهی «کاهش سطح حملات» میتواند چنین رفتارهای نابهنجار از سمت اسناد مخرب آفیس را شناسایی کند. این مولفه مانع از این میشود که اسناد آفیس بتوانند فایلهای اجرایی ایجاد کنند، پردازههای فرزند ایجاد کرده و یا در پردازههایی تزریق شوند. این مولفه همچنین کدهای ماکرو را مسدود میکند.
حملاتی که از ویژگی DDE آفیس استفاده میکردند در اواسط ماه اکتبر مورد بررسی قرار گرفته و به مایکروسافت گزارش شد ولی مایکروسافت معتقد است این مسئله یک آسیبپذیری نیست و یک ویژگی اسناد آفیس محسوب میشود. هفتهی قبل موسسهی SANS گزارش داد که ترافیک باتنت Necurs افزایش یافته و در این ترافیک از ویژگی DDE برای توزیع باجافزار لاکی استفاده میشود. حملاتی که از ویژگی DDE استفاده میکنند میتوانند ضدبدافزارها و سیستمهای تشخیص نفوذ را دور بزنند چرا که این ویژگی در فهرست سفید این ابزارها قرار دارد.
