Microsoft-Sicherheitsempfehlung 4053440

Sicheres Öffnen von Microsoft Office-Dokumenten, die DDE-Felder (Dynamic Data Exchange, dynamischer Datenaustausch) enthalten

Veröffentlicht: 8. November 2017 | Aktualisiert: 12. Dezember 2017

Version: 2.0

Übersicht

Kurzzusammenfassung

Microsoft veröffentlicht diese Sicherheitsempfehlung, um Informationen zu Sicherheitseinstellungen für Microsoft Office-Anwendungen bereitzustellen. Darüber hinaus bietet die Empfehlung eine Anleitung zu den Maßnahmen, mit denen Sie sicherstellen können, dass diese Anwendungen bei der Verarbeitung von DDE-Feldern (Dynamic Data Exchange, dynamischer Datenaustausch) ordnungsgemäß geschützt sind.

Informationen zum dynamischen Datenaustausch

Microsoft Office bietet verschiedene Methoden zum Übertragen von Daten zwischen Anwendungen. Beim DDE-Protokoll handelt es sich um einen Satz von Nachrichten und Richtlinien. Nachrichten werden zwischen Anwendungen gesendet, die Daten gemeinsam nutzen, und für den Austausch von Daten zwischen Anwendungen wird ein gemeinsam genutzter Speicherbereich verwendet. Anwendungen können das DDE-Protokoll für einmalige Datenübertragungen und für den ständigen Austausch verwenden, bei dem Anwendungen einander Updates senden, wenn neue Daten verfügbar sind.

Szenario

Bei einem E-Mail-Angriff kann ein Angreifer das DDE-Protokoll nutzen, indem er eine speziell gestaltete Datei an den Benutzer sendet und ihn dann (normalerweise per E-Mail) dazu verleitet, die Datei zu öffnen. Der Angreifer muss den Benutzer dazu verleiten, den geschützten Modus zu deaktivieren und eine oder mehrere zusätzliche Eingabeaufforderungen zu durch Klicken zu bestätigen. Da es sich bei E-Mail-Anlagen um eine primäre Methode handelt, mit der Angreifer Schadsoftware verbreiten können, empfiehlt Microsoft dringend Vorsicht beim Öffnen verdächtiger Dateianlagen.

DDE-Featuresteuerungsschlüssel

Microsoft Office stellt mehrere Featuresteuerungsschlüssel bereit, die in der Registrierung gespeichert werden. Sie dienen dazu, Produktfunktionen zu ändern sowie die Unterstützung von Branchenstandards und die Sicherheit zu verbessern. Microsoft hat diese Featuresteuerungsschlüssel dokumentiert und empfiehlt, bestimmte Featuresteuerungsschlüssel aus Sicherheitsgründen zu aktivieren. Weitere Informationen finden Sie hier:

Microsoft empfiehlt allen Benutzern von Microsoft Office dringend, die sicherheitsrelevanten Featuresteuerungsschlüssel zu überprüfen und zu aktivieren. Indem Sie die in den folgenden Abschnitten beschriebenen Registrierungsschlüssel festlegen, deaktivieren Sie automatische Updates von Daten über verknüpfte Felder. 

Update Am 12. Dezember 2017 hat Microsoft ein Update für alle unterstützten Editionen von Microsoft Word veröffentlicht, mit dessen Hilfe Benutzer die Funktionalität des DDE-Protokolls auf der Basis ihrer Umgebung festlegen können. Weitere Informationen und den Download für das Update finden Sie in ADV170021.

Risikominderung für DDE-Angriffsszenarien

Wenn Sie sofort Maßnahmen ergreifen möchten, können Sie sich schützen, indem Sie manuell Registrierungseinträge für Microsoft Office erstellen und festlegen. Legen Sie anhand der folgenden Anweisungen die Registrierungsschlüssel für die auf Ihrem System installierten Office-Anwendungen fest.

Warnung: Die unsachgemäße Verwendung des Registrierungs-Editors kann schwerwiegende Probleme verursachen, die eine Neuinstallation des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungs-Editors herrühren, behoben werden können. Sie verwenden den Registrierungs-Editor auf eigene Gefahr.

Microsoft empfiehlt, eine Sicherungskopie der Windows-Registrierung zu erstellen, bevor Sie Änderungen an Registrierungseinträgen vornehmen.

Microsoft Excel

Excel benötigt das DDE-Feature zum Starten von Dokumenten.

Wenn Sie automatische Updates von Verknüpfungen in Excel (einschließlich DDE, OLE und Verweisen auf externe Zellen oder definierte Namen) verhindern möchten, finden Sie in der folgenden Tabelle die Registrierungsschlüssel-Versionszeichenfolgen, die Sie für die einzelnen Versionen festlegen müssen:

Office-Version

Registrierungsschlüssel-Zeichenfolge (<Version>)

Office 2007

12.0

Office 2010

14.0

Office 2013

15.0

Office 2016

16.0

  • So deaktivieren Sie das DDE-Feature über die Benutzeroberfläche

    Legen Sie „Datei“ -> „Optionen“ -> „Trust Center“ -> „Einstellungen für das Trust Center…“ -> „Externer Inhalt“ -> „Sicherheitseinstellungen für Arbeitsmappenverknüpfungen“ auf „Alle Arbeitsmappenverknüpfungen deaktivieren“ fest.

  • So deaktivieren Sie das DDE-Feature über den Registrierungs-Editor

    [HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Excel\Security]
    WorkbookLinkWarnings(DWORD) = 2
    

Auswirkungen der Risikominderung: Wenn Sie dieses Feature in der Registrierung deaktivieren, können Excel-Kalkulationstabellen möglicherweise nicht mehr dynamisch aktualisiert werden. Die Daten sind möglicherweise nicht vollständig aktuell, da sie nicht mehr automatisch über einen Livefeed aktualisiert werden. Um das Arbeitsblatt zu aktualisieren, müssen Sie den Feed manuell starten. Außerdem werden Sie nicht durch Eingabeaufforderungen daran erinnert, das Arbeitsblatt manuell zu aktualisieren.

Microsoft Outlook

In der folgenden Tabelle finden Sie die Registrierungsschlüssel-Versionszeichenfolgen für die einzelnen Office-Versionen:

Office-Version

Registrierungsschlüssel-Zeichenfolge (<Version>)

Office 2010

14.0

Office 2013

15.0

Office 2016

16.0

  • So deaktivieren Sie das DDE-Feature für Office 2010 und höhere Versionen über den Registrierungs-Editor

    [HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Word\Options\WordMail]
     DontUpdateLinks(DWORD)=1
    
  • So deaktivieren Sie das DDE-Feature für Office 2007 über den Registrierungs-Editor

    [HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Options\vpref]
    fNoCalclinksOnopen_90_1(DWORD)=1
    

Auswirkungen der Risikominderung: Durch Festlegen dieses Registrierungsschlüssels deaktivieren Sie automatische Updates für DDE-Felder und OLE-Verknüpfungen. Sie können das Update dennoch aktivieren, indem Sie mit der rechten Maustaste auf das Feld klicken und dann auf „Feld aktualisieren“ klicken.

Microsoft Publisher

Ein Word-Dokument, das das DDE-Protokoll verwendet und in ein Publisher-Dokument eingebettet ist, kann einen möglichen Angriffsvektor darstellen. Sie können diesen Angriffsvektor verhindern, indem Sie den Word-Registrierungsschlüssel ändern. Die Werte für den Word-Registrierungsschlüssel finden Sie im folgenden Abschnitt.

Microsoft Word

In ADV170021 finden Sie ein Update für Microsoft Word, mit dessen Hilfe Benutzer die Funktionalität des DDE-Protokolls auf der Basis ihrer Umgebung festlegen können.

In der folgenden Tabelle finden Sie die Registrierungsschlüssel-Versionszeichenfolgen für die einzelnen Office-Versionen:

Office-Version

Registrierungsschlüssel-Zeichenfolge (<Version>)

Office 2010

14.0

Office 2013

15.0

Office 2016

16.0

  • So deaktivieren Sie das DDE-Feature für Office 2010 und höhere Versionen über den Registrierungs-Editor

    [HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Word\Options]
    DontUpdateLinks(DWORD)=1
    
  • So deaktivieren Sie das DDE-Feature für Office 2007 über den Registrierungs-Editor

    [HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Options\vpref]
    fNoCalclinksOnopen_90_1(DWORD)=1
    

Auswirkungen der Risikominderung: Durch Festlegen dieses Registrierungsschlüssels deaktivieren Sie automatische Updates für DDE-Felder und OLE-Verknüpfungen. Sie können das Update dennoch aktivieren, indem Sie mit der rechten Maustaste auf das Feld klicken und dann auf „Feld aktualisieren“ klicken.

Windows 10 Fall Creators Update (Version 1709)

Benutzer von Windows 10 Fall Creators Update können Windows Defender Exploit Guard nutzen, um DDE-basierte Schadsoftware mithilfe von Regeln zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR) zu blockieren.

ASR ist eine Komponente von Windows Defender Exploit Guard, die Unternehmen integrierte Informationen bereitstellt. Mit diesen können die zugrunde liegenden Verhaltensweisen, die von schädlichen Dokumenten für Angriffe verwendet werden, blockiert werden, ohne die Verwendung des Produkts zu beeinträchtigen. Da die schädlichen Verhaltensweisen unabhängig von der Art der Bedrohung oder des Exploits blockiert werden, können sich Unternehmen durch die Verringerung der Angriffsfläche vor noch nie aufgetretenen Zero-Day-Angriffen wie diesen kürzlich erkannten Sicherheitsrisiken schützen: CVE-2017-8759, CVE-2017-11292 und CVE-2017-11826.

Für Office-Apps bietet die Verringerung der Angriffsfläche folgende Möglichkeiten:

  • Blockieren der Erstellung von ausführbaren Inhalten in Office-Apps
  • Blockieren des Starts von untergeordneten Prozessen in Office-Apps
  • Blockieren von Einfügungen in Prozesse in Office-Apps
  • Blockieren von Win32-Importen aus Makrocode in Office
  • Blockieren von verschleiertem Makrocode

Neue Exploits wie DDEDownloader nutzen DDE-Popups (Dynamic Data Exchange, dynamischer Datenaustausch) in Office-Dokumenten, um einen PowerShell-Download-Trojaner auszuführen. Dabei starten sie jedoch einen untergeordneten Prozess, der von der entsprechenden Regel für untergeordnete Prozesse blockiert wird.

Windows Defender Exploit Guard kann zusammen mit Windows Defender Advanced Threat Protection (ATP) verwendet werden, um Sicherheitsrisiken und Probleme auf Unternehmensebene zu untersuchen und darauf zu reagieren. Weitere Informationen zu Windows Defender Exploit Guard und Windows Defender ATP finden Sie unter:

Dieses Problem wird von Microsoft untersucht. Weitere Informationen werden in diesem Artikel veröffentlicht, sobald sie verfügbar sind.

Zusätzlich empfohlene Maßnahmen

  • Schützen Sie Ihren PC
    Wir raten Ihnen auch weiterhin, die Anleitungen unter „Schützen Sie Ihren PC“ zu befolgen, indem Sie eine Firewall aktivieren, regelmäßig die Software aktualisieren und Antivirensoftware installieren. Weitere Informationen finden Sie im Microsoft-Center für PC- und Onlinesicherheit.
  • Halten Sie Microsoft-Software auf dem neuesten Stand
    Wenn Sie Microsoft-Software ausführen, sollten Sie die neuesten Sicherheitsupdates von Microsoft anwenden, um den größtmöglichen Schutz des Computers zu erzielen. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, besuchen Sie die Website Microsoft Update, überprüfen Sie Ihren Computer auf verfügbare Updates, und installieren Sie alle angezeigten Updates mit hoher Priorität. Wenn Sie die automatische Updatefunktion aktiviert und so konfiguriert haben, dass sie Updates für Microsoft-Produkte bereitstellt, werden Ihnen die Updates geliefert, sobald sie veröffentlicht worden sind. Sie sollten aber überprüfen, ob sie installiert worden sind.

Weitere Informationen

Haftungsausschluss

Die Informationen in dieser Empfehlung werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleichgültig, ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann die Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie.

Revisionen

  • Version 1.0 (8. November 2017): Die Empfehlung wurde veröffentlicht.
  • V1.1 (30. November 2017): Der Abschnitt zu Windows 10 Fall Creators Update wurde mit weiteren Informationen über die Regeln zur Verringerung der Angriffsfläche (Attack Surface Reduction, ASR) aktualisiert. Diese Änderung dient lediglich der Information.
  • V2.0 (12. Dezember 2017): Microsoft hat ein Update für alle unterstützten Editionen von Microsoft Word veröffentlicht, mit dessen Hilfe Benutzer die Funktionalität des DDE-Protokolls auf der Basis ihrer Umgebung festlegen können. Weitere Informationen und den Download für das Update finden Sie in ADV170021.

Seite generiert am 07.12.2017 um 12:30-08:00.