Disable DDEAUTO

Bu yazımda microsoft’un DDE protokolünden kaynaklanan açıkların kullanılmasıyla gerçekleşen zararlı enjeksiyonuna karşı korunmaya değineceğim.
DDE; Dynamic Data Exchange (DDE) protocol
Microsoft birkaç farklı yolla iki uygulama arasında veri taşımaya olanak sağlar,
bu yollardan biri de DDE protokolüdür,
DDE protokolünün olanaklarından biri de, bir kez veri taşındıktan sonra kaynakta yapılacak bir değişimin hedefte de çalıştırılabilir olmasıdır.

Örneğin :
Herhangi bir word belgesini açıyoruz.
ve Insert tab -> Quick Parts -> Field menüsünden

Kategori kısmından formula seçerek ilerliyoruz.

Daha sonra eklenecek field’a ters tıklayarak “!Unexpected End of Formula” seçeneğini görünür kılıyoruz.

field’a aşağıdaki kodu ekliyoruz:

{DDEAUTO c:\\windows\\system32\\cmd.exe "/k calc.exe"  }

belgemizi hazırladık, eğer word belgesi açılırsa ve çıkacak uyarı “yes” olarak seçilirse hesap makinası çalışacak olmalı.

ne kadar tehlikeli olabileceğini sanırım tahayyül edebildik.

Peki nasıl korunacağız ?

Aşağıdaki kodu notepad dosyasına yapıştırıp, reg olarak kaydedip çift tıklayarak registry’e yazabilir,

ya da download linkinden dosyayı indirip, yine çift tıklayarak yazma işlemini sağlayabilir, domain ortamında iseniz GPO ile dağıtabilirsiniz.
Not : Outlook, Word, OneNote, Excel 2010, 2013, 2016 destekler

Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Options]
"DontUpdateLinks"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Word\Options]
"DontUpdateLinks"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Word\Options]
"DontUpdateLinks"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Options\WordMail]
"DontUpdateLinks"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Word\Options\WordMail]
"DontUpdateLinks"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Word\Options\WordMail]
"DontUpdateLinks"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\OneNote\Options]
"DisableEmbeddedFiles"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\OneNote\Options]
"DisableEmbeddedFiles"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Excel\Options]
"DontUpdateLinks"=dword:00000001
"DDEAllowed"=dword:00000000
"DDECleaned"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Excel\Options]
"DontUpdateLinks"=dword:00000001
"DDEAllowed"=dword:00000000
"DDECleaned"=dword:00000001
"Options"=dword:00000117
[HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Excel\Options]
"DontUpdateLinks"=dword:00000001
"DDEAllowed"=dword:00000000
"DDECleaned"=dword:00000001
"Options"=dword:00000117

Download linki : Tıklayınız

 

 

Yorum yapın

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.