Microsoft deshabilita la función DDE en Word para evitar ataques de malwareComo hemos explicado esta es una función de Office que permite que una aplicación cargue datos desde otras aplicaciones de Office. Por ejemplo, un archivo de Word puede actualizar una tabla al extraer datos de un archivo de Excel cada vez que se abre ese archivo de Word.
Se trata de una característica antigua que Microsoft ha reemplazado a través del kit de herramientas más reciente de vinculación e incrustación de objetos (OLE, en sus siglas en inglés). Pero DDE todavía es compatible con las aplicaciones de Office.
Sin embargo esta función puede ser problemática para la seguridad de los usuarios. En octubre de 2017, los investigadores de seguridad de SensePost publicaron un tutorial sobre cómo la característica DDE podría ser objeto de abuso para distribuir malware.
Incluso si se ha abusado de DDE para distribuir malware en los años 90, los nuevos métodos explicados en el tutorial de SensePost fueron rápidamente adoptados por distribuidores de malware, primero por FIN7, un grupo de piratas informáticos especializados en golpear organizaciones financieras y luego por distribuidores de malware genéricos.
En ese momento, Microsoft no consideraba que DDE fuera una vulnerabilidad en el paquete de Office, pero dijo que era solo otra característica legítima que se abusaba para distribuir malware.
La razón por la cual Microsoft no consideró los ataques DDE como problemas de seguridad es que Office muestra advertencias antes de abrir los archivos. Este es solo otro caso en el que los autores de malware han encontrado una manera creativa de abusar de una característica legítima, como con OLE y macros, para lo cual Microsoft también advierte a los usuarios antes de ejecutar.
A medida que las nuevas campañas que aprovechaban la técnica DDE comenzaron a generalizarse, el equipo de seguridad de Microsoft comenzó a cambiar de opinión.
Cambios en Microsoft
La primera señal llegó cuando Microsoft lanzó Security Advisory 4053440 a mediados de octubre, que contenía detalles sobre cómo los usuarios podían desactivar la función DDE en las aplicaciones de Office que la admiten, como Word, Outlook y Excel.
Pero el paso radical llegó el martes pasado. Con este parche de seguridad Microsoft decidió deshabilitar DDE dentro de Word por completo. Esto ha sido hecho por Office Defense en Depth Update ADV170021.
Esta actualización agrega una nueva clave de registro de Windows que controla el estado de la función para la aplicación Word.
Microsoft continuará admitiendo DDE dentro de Excel y Outlook, donde esta característica permanecerá activada de forma predeterminada. La compañía aconseja a los usuarios leer Security Advisory 4053440, donde detalla los métodos para deshabilitar la compatibilidad con esta función a través de opciones de GUI o modificaciones de registro de Windows.
Fuente > Bleeping Computer