[SOPHOS] 俄国骇客组织用微软DDE协定攻击散布恶意程式

在过去两周中，Sophos 的研究人员密切注意一个在 Microsoft 动态资料交换 (DDE) 通讯协定中的弱点，该通讯协定被用于传送讯息并在应用程式之间共用资料。10月21日，一些新发展揭露了这种攻击的另一个面向。

SOPHOS注意到攻击者可能利用 DDE，透过遭感染的 Office 附件启用恶意软体 (例如 Word 和 Excel 档案)，但无须使用巨集。

10月20日，一份独立报告发布，显示攻击者可以使用 Microsoft Outlook Rich Text Format (RTF) 的电子邮件和行事历邀请在 Outlook 中执行 DDE 攻击，而不只是透过附加在电子邮件中的 Office 档案进行。

在原本的攻击模式中，攻击者必须诱骗使用者开启恶意附件。如果将程式码放入电子邮件内文中，那么攻击会更容易得手，这意味著透过社交工程手法诱骗收件者上当更容易了。

好消息是，无论 DDE 攻击是透过附件还是直接经由电子邮件或行事历邀请，您都可以轻松阻挡这些攻击：

只要说「不」

附件、电子邮件和行事历邀请在触发 DDEAUTO 攻击之前，会显示两个警告对话方块。如果您在任何一个对话方块中都回答 ”No”「否」，就可以防止攻击。(SophosLabs 尚未发现到任何可以绕过这些对话方块的机制）

首先，当 DDE 被使用时，您会先看到这样的警告：

This document contains links that may refer to other files. Do you want to update this document with the data from the linked files? ((此文件包含可能参照到其他档案的连结。您是否要使用连结档案的资料来更新此文件?)

按一下「否」就能阻挡 DDE 攻击执行。

如果在第一个对话方块中按一下「是」，将会出现第二个对话方块，警告该命令即将被执行 (括号中的文字和最后参照的程式名称可能会不同)：

The remote data (k powershell -w hidden -NoP -NoExit -) is not accessible. Do you want to start the application C:windowssystem32cmd.exe? (远端资料 (k powershell -w hidden -NoP -NoExit -) 无法存取。您要启动应用程式 C:windowssystem32cmd.exe 吗?)

同样的，按一下「否」就能阻挡攻击。

您也可以纯文字格式观看所有邮件 (而不论其发送的格式为何)，同样能避开直接嵌入到电子邮件中的 DDE 攻击。

但是请注意，这种作法会停用邮件中的所有格式、颜色和图片，包括以流行的 HTML 电子邮件格式传送的邮件。部分邮件会更难阅读，而且可能会阻碍寄件者希望您看到的内容。

请造访 Microsoft 支援网站，了解如何在 Outlook 中以纯文字格式观看所有电子邮件。

Sophos 的产品可以下列名称识别 DDE 攻击并加以阻挡：

·         CXmail/OffDDE-*：来自电子邮件的附件和诈骗邮件。

·         Troj/RtfDDE-*：诈骗 RTF 档案。

·         Troj/DocDl-DJV：尝试下载其他恶意软体的 DDE 攻击。

英文原文: https://nakedsecurity.sophos.com/2017/10/22/office-dde-attack-works-in-outlook-too-heres-what-to-do/