Microsoft DDE mekanismia hyödynnetään haittaohjelmakampanjoissa

Tunnisteet: tietoturva, haittaohjelma, bottiverkko

Käyttäjät ja organisaatiot alkavat olla hyvin tietoisia makrojen vaaroista joten hyökkääjät etsivät muita tapoja suorittaa haitallista koodia uhrien tietokoneissa. Julkisuudessa on raportoitu Microsoftin DDE (Dynamic Data Exchange) -mekanismin käytöstä useammassa eri hyökkäyskampanjassa, esim. eri haittaohjelmakampanjoissa. Microsoft on päivittänyt ohjeitaan DDE sisältöä sisältävien viestin turvallista aukaisemista varten.

Mikä DDE mekanismi on ja miten sitä väärinkäytetään?

Windows tarjoaa useita eri mekanismeja sovellusten tiedonvaihdolle järjestelmissään. Yksi näistä mekanismeista on DDE (Dynamic Data Exchange).
DDE-mekanismia käytetään viestien ja tiedon välittämiseen sovellusten välillä. Microsoftin mukaan kyse on toiminnallisuudesta eikä haavoittuvuudesta, joten toimintoja poistavia päivityksiä ei ole tiedossa. DDE-toimintoa hyväksikäyttämällä on mahdollista suorittaa makroja tai komentoja Microsoftin sovelluksissa. Käyttäjän on kuitenkin hyväksyttävä sovelluksen antamat varoitukset jotta mahdollinen hyökkäysyritys onnistuu.

Miten DDE väärinkäytön riskiä voi pienentää?

  • DDE hyväksikäyttöyritys tulee sähköpostitse ja on helposti torjuttavissa. Ole tarkkana mikäli et ole varma sähköpostin lähettäjästä ja tarkoitusperästä. Mikäli vastaanotat sähköpostin joka pyytää lupaa päivittää dokumentin tietoja tai komentoja, älä hyväksy niitä.
  • Estä DDE ominaisuuden käyttö käyttöjärjestelmästä (Linkki ohjeisiin artikkelin lopussa).

Muita rajoituskeinoja:

  • Microsoft Outlook: säädä html-muotoisten viestien näyttäminen vain teksti-muodossa.
  • Microsoft Word: hyväksikäyttöä voidaan rajoittaa poistamalla ominaisuus "Päivitä automaattiset linkit avattaessa" toiminnasta. Tämä asetus löytyy Wordista Tiedosto ->Asetukset -> Lisäasetukset -> Yleiset ja poista ruksi kohdasta "Päivitä automaattiset linkit avattaessa". Haitallisia komentoja voidaan yrittää suorittaa myös Microsoft Outlookin sähköposteissa ja kalenterissa. Haavoittuvuuden hyväksikäyttäminen edellyttää, että vastaanottajalle on sallittu viestien sisällön näyttäminen html-muodossa.

Käyttäjiä ja organisaatioita kehotetaan harkitsemaan sähköpostiviestien sallimista vain teksti-muodossa.

 

Lisätietoja asiasta:

Päivityshistoria

  • 09.11.2017 klo 14:33
    Julkaistu

Tilaa uutisemme suoraan sähköpostiisi!

Rekisteröidy postituslistalle tai kirjaudu

Links:trx for sale
trx outlet
discount trx
cheap trx
trx for sale
trx australia
trx australia

E-Karjalan ICT-Palvelut.net Oy

Janne Kotisalo     050 300 9931
janne.kotisalo(AT)ictpalvelut.net
 
Markku Järvinen  050 305 9931 
markku.jarvinen(AT)ictpalvelut.net
 
 

 Kartta

Links:trx for sale
trx outlet
discount trx
cheap trx
trx for sale
trx australia
trx australia

BQ Aquaris E4.5 Ubuntu Edition kokeilu

Kauan odotettu Ubuntu Phone on viimein kädessäni. Eli heti alkuun jos tarvitsee nopeasti puhelimen, ei tämä ole silloin sinun valinta. ...

Suomenkielinen Windows 10 testissä

Suomenkielielinen Windows 10

Testaan Suomenkielistä Windows 10 kokeiluversiota. ...

.