恶意文件威胁升高 微软对DDE攻击威胁释出安全通报

微软解释，骇客可以在钓鱼邮件攻击中，传递一个特製的档案并诱导使用者开启，说服使用者关闭保护模式再同意其他的提醒，藉以散布恶意程式。

鉴于愈来愈多的黑客滥用微软Windows中的动态资料交换（Dynamic Data Exchange，DDE）协议来散布恶意程序，微软发表了4053440安全通报，以协助使用者减轻DDE攻击所带来的威胁。金山毒霸几周前截获有攻击者在Office文档中嵌入特殊处理的图片对象，欺骗用户双击下载病毒。

DDE协定是微软Windows与Office中用以于不同程式中交换资料的协定之一，它在不同的程式间传送分享资料的讯息，并利用共享记忆体来交换资料，允许一次性的资料交换或是持续地进行资料同步。

根据微软的说明，在以电子邮件的攻击场景中，骇客可传递一个特製的档案并诱导使用者开启，说服使用者关闭保护模式再同意其他的提醒，藉以散布恶意程式。

上个月思科（Cisco）旗下的资安团队Talos才揭露了採用DDE的攻击手法，另一资安业者Nviso也公布许多利用DDE植入恶意程式的文件样本，上周又有资安业者发现俄国骇客组织Fancy Bear（APT28）亦开始利用DDE来执行攻击行动。

微软除了建议使用者不要开启来路不明的邮件附加档案之外，也说该公司于Office的登录档中存放了许多能够变更产品功能及改善安全性的控制方法，希望用户能够多加利用，包括Office 2013与Office 2016。

此外，微软亦提供指南以协助使用者利用登录编辑程式手动关闭各种Office版本与程式的DDE功能，涵盖Office 2007、Office 2010、Office 2013与Office 2016上的Excel、Outlook与Word。Windows 10 Fall Creator Update用户则可透过Windows Defender Exploit Guard的Attack Surface Reduction元件来封锁基于DDE形式的恶意程式。

欢迎大家关注、转发、点赞、评论、收藏等方式交流。