Microsoft DDE mekanismia hyödynnetään haittaohjelmakampanjoissa

Käyttäjät ja organisaatiot alkavat olla hyvin tietoisia makrojen vaaroista joten hyökkääjät etsivät muita tapoja suorittaa haitallista koodia uhrien tietokoneissa. Julkisuudessa on raportoitu Microsoftin DDE (Dynamic Data Exchange) -mekanismin käytöstä useammassa eri hyökkäyskampanjassa, esim. eri haittaohjelmakampanjoissa. Microsoft on päivittänyt ohjeitaan DDE sisältöä sisältävien viestin turvallista aukaisemista varten.

Mikä DDE mekanismi on ja miten sitä väärinkäytetään?

Windows tarjoaa useita eri mekanismeja sovellusten tiedonvaihdolle järjestelmissään. Yksi näistä mekanismeista on DDE (Dynamic Data Exchange).
DDE-mekanismia käytetään viestien ja tiedon välittämiseen sovellusten välillä. Microsoftin mukaan kyse on toiminnallisuudesta eikä haavoittuvuudesta, joten toimintoja poistavia päivityksiä ei ole tiedossa. DDE-toimintoa hyväksikäyttämällä on mahdollista suorittaa makroja tai komentoja Microsoftin sovelluksissa. Käyttäjän on kuitenkin hyväksyttävä sovelluksen antamat varoitukset jotta mahdollinen hyökkäysyritys onnistuu.

Miten DDE väärinkäytön riskiä voi pienentää?

  • DDE hyväksikäyttöyritys tulee sähköpostitse ja on helposti torjuttavissa. Ole tarkkana mikäli et ole varma sähköpostin lähettäjästä ja tarkoitusperästä. Mikäli vastaanotat sähköpostin joka pyytää lupaa päivittää dokumentin tietoja tai komentoja, älä hyväksy niitä.
  • Estä DDE ominaisuuden käyttö käyttöjärjestelmästä (Linkki ohjeisiin artikkelin lopussa).

Muita rajoituskeinoja:

  • Microsoft Outlook: säädä html-muotoisten viestien näyttäminen vain teksti-muodossa.
  • Microsoft Word: hyväksikäyttöä voidaan rajoittaa poistamalla ominaisuus "Päivitä automaattiset linkit avattaessa" toiminnasta. Tämä asetus löytyy Wordista Tiedosto ->Asetukset -> Lisäasetukset -> Yleiset ja poista ruksi kohdasta "Päivitä automaattiset linkit avattaessa". Haitallisia komentoja voidaan yrittää suorittaa myös Microsoft Outlookin sähköposteissa ja kalenterissa. Haavoittuvuuden hyväksikäyttäminen edellyttää, että vastaanottajalle on sallittu viestien sisällön näyttäminen html-muodossa.

Käyttäjiä ja organisaatioita kehotetaan harkitsemaan sähköpostiviestien sallimista vain teksti-muodossa.


Lisätietoja asiasta:

Päivityshistoria

Asiasanat: Tietoturva , Bottiverkko , Haittaohjelma , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248