{"id":196178,"date":"2017-11-09T00:39:28","date_gmt":"2017-11-08T23:39:28","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=196178"},"modified":"2017-11-09T12:50:13","modified_gmt":"2017-11-09T11:50:13","slug":"microsoft-sicherheits-ratschlag-4053440-zur-dde-lcke","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/11\/09\/microsoft-sicherheits-ratschlag-4053440-zur-dde-lcke\/","title":{"rendered":"Microsoft Sicherheits-Ratschlag 4053440 zur DDE-Lücke"},"content":{"rendered":"

Microsoft hat das Security Advisory 4053440 zur Dynamic Data Exchange (DDE)-Schwachstelle in Microsoft Office ver\u00f6ffentlicht. Hier ein paar Informationen zum Thema. Erg\u00e4nzung:<\/strong> Die Schwachstelle wird aktiv von der russischen Hackergruppe Fancy Bear in Malware-Kampagnen ausgenutzt.<\/p>\n

<\/p>\n

Worum geht es bei der DDE-L\u00fccke?<\/h2>\n

\"\"Microsoft Office stellt verschiedene Methoden zur Verf\u00fcgung, um Daten zwischen Anwendungen zu \u00fcbertragen. Das DDE-Protokoll ist eine Sammlung von Meldungen und Richtlinien. Es sendet Nachrichten zwischen Anwendungen, die Daten gemeinsam nutzen, und verwendet Shared Memory, um Daten zwischen Anwendungen auszutauschen. Anwendungen k\u00f6nnen das DDE-Protokoll f\u00fcr den einmaligen Datentransfer und f\u00fcr den kontinuierlichen Austausch nutzen, bei dem Anwendungen sich gegenseitig Aktualisierungen senden, sobald neue Daten zur Verf\u00fcgung stehen.<\/p>\n

In den Microsoft Office-Modulen, die die DDE-Schnittstelle unterst\u00fctzen gibt es eine Schwachstelle. Im Blog-Beitrag Word DDE-Schwachstelle wird aktiv ausgenutzt<\/a> hatte ich darauf hingewiesen, dass es wohl Malware-Angriffswellen gibt, die eine DDE-Schwachstelle in Microsoft Word ausnutzen, um Schadsoftware zu verteilen. Es reicht eine kompromittierte Word-Dokumentdatei zu \u00f6ffnen, um \u00fcber die DDE-Schnittstelle die Malware herunterzuladen und auszuf\u00fchren.<\/p>\n

Das Security Advisory 4053440<\/h2>\n

Am 8. November 2017 hat Microsoft den folgenden Sicherheitsratschlag, der sich mit der DDE-Problematik befasst, ver\u00f6ffentlicht.<\/p>\n

Microsoft Security Advisory 4053440
\n– Title: Securely opening Microsoft Office documents that contain
\nDynamic Data Exchange (DDE) fields
\n– https:\/\/technet.microsoft.com\/library\/security\/4053440.aspx<\/a>
\n– Executive Summary: Microsoft is releasing this security
\nadvisory to provide information regarding security settings for
\nMicrosoft Office applications. This advisory provides guidance on
\nwhat users can do to ensure that these applications are properly
\nsecured when processing Dynamic Data Exchange (DDE) fields.
\n– Originally posted: November 8, 2017
\n– Updated: N\/A
\n– Version: 1.0<\/p>\n

Im betreffenden Technet-Dokument<\/a> geht Microsoft noch detaillierter auf die Problematik ein zu zeigt, wie man den DDE-Mechanismus in Excel, Word, Outlook etc. per Registrierungseditor oder im Trust Center deaktivieren kann.<\/p>\n

Erg\u00e4nzung: Russische Hacker Fancy Bear nutzen die L\u00fccke<\/h2>\n

Noch eine kurze Erg\u00e4nzung – die russische Hackergruppe Fancy Bear nutzt die DDE-L\u00fccke wohl gezielt f\u00fcr Malware-Attacken aus. Details lassen sich bei The Hacker News in diesem Artikel <\/a>nachlesen.<\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>Word DDE-Schwachstelle wird aktiv ausgenutzt<\/a>
\nSicherheit: Outlook patzt, Malware trotz Office Makrosperre ausf\u00fchrbar<\/a><\/p>\n

Undokumentiertes Word-Features f\u00fcr Angriffe benutzt
\n<\/a>Exploit f\u00fcr Microsoft PowerPoint trickst Antivirus aus
\n<\/a>Zusy PowerPoint-Malware: Download durch Zeigen auf Link<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Microsoft hat das Security Advisory 4053440 zur Dynamic Data Exchange (DDE)-Schwachstelle in Microsoft Office ver\u00f6ffentlicht. Hier ein paar Informationen zum Thema. Erg\u00e4nzung: Die Schwachstelle wird aktiv von der russischen Hackergruppe Fancy Bear in Malware-Kampagnen ausgenutzt.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[270,426],"tags":[4322,4328],"class_list":["post-196178","post","type-post","status-publish","format-standard","hentry","category-office","category-sicherheit","tag-office","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/196178","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=196178"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/196178\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=196178"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=196178"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=196178"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}