메일 보내기

솔루션 검색 데모요청 TOP

RSS Feed 받기

로그인 정보로 피드받기
입력한 이메일로 피드받기

Contents 공유하기

Contents 공유하기

카카오 스토리 공유하기

가입하기

Contents 공유하기

인스타그램 공유하기

가입하기

Contents 공유하기

네이버밴드 공유하기

가입하기

Microsoft는 일부 파괴적인 ransomware를 포함하여 Office의 Dynamic Data Exchange 필드를 활용하는 공격의 맹공격에도 불구하고 DDE는 제품 기능이며이를 취약점으로 처리하지 않을 것이라고 주장 해 왔습니다.

그러나 Microsoft는 수요일 에 Office의 새로운 레지스트리 설정을 통해이 기능을 안전하게 해제하는 방법에 대한 관리자의 지침 을 제시했습니다. 각 응용 프로그램간에 데이터가 더 이상 자동으로 업데이트되지 않는다는 경고가 표시됩니다. 이는 스프레드 시트가 자동으로 업데이트되도록하기 위해이 실시간 데이터 피드에 의존하는 Excel 사용자에게 특히 큰 영향을 줄 수 있습니다.

DDE는 앱이 공유 메모리를 통해 메시지를 보내고 데이터를 공유하는 방식을 설정하는 프로토콜입니다.

매크로 기반 악성 코드로 지난 18 개월 동안 큰 성공을 거둔 공격자는 DDE를 사용하여 드롭퍼, 악용 프로그램 및 악성 프로그램을 시작하는 데 관심을 다시 갖게되었습니다.

"전자 메일 공격 시나리오에서 공격자는 특수하게 조작 된 파일을 사용자에게 보내고 일반적으로 전자 메일을 통한 유혹을 통해 사용자가 파일을 열도록 유도함으로써 DDE 프로토콜을 활용할 수 있습니다. "공격자는 사용자가 보호 모드를 비활성화하고 하나 이상의 추가 프롬프트를 클릭하도록 유도해야합니다. 전자 메일 첨부 파일은 침입자가 악성 프로그램을 확산시키는 데 사용할 수있는 주요 방법이기 때문에 의심스러운 첨부 파일을 열 때주의해야합니다. "

매크로 악성 코드를 이용한 공격은 사용자를 속여서 사무실에서 기본적으로 사용하지 않는 매크로 (예 : 배송 알림 및 배송과 같은 일상 업무와 관련된 제목과 첨부 파일을 통한 영리한 사회 공학)를 방해하는 것을 방해하지 않았습니다. 송장.

어제 게시 된 Microsoft의 권고에서 Office 2016 및 2013에 대한 보안 관련 기능 제어 키를 설정하여 링크 된 필드의 데이터 자동 업데이트를 비활성화하는 것이 좋습니다 .

Excel에서 Microsoft는 레지스트리 편집기 나 사용자 인터페이스를 통해 DDE를 비활성화하는 방법에 대한 지침을 제공했습니다.

"이 기능을 사용하지 못하게하면 레지스트리에서 사용하지 않도록 설정하면 Excel 스프레드 시트가 동적으로 업데이트되지 않을 수 있습니다." "라이브 피드를 통해 자동으로 업데이트되지 않으므로 데이터가 완전히 최신이 아닐 수도 있습니다. 워크 시트를 업데이트하려면 사용자가 피드를 수동으로 시작해야합니다. 또한 사용자가 수동으로 워크 시트를 업데이트하라는 메시지를받지 못합니다. "

Outlook의 경우 각 레지스트리 키를 설정하면 DDE의 최신 대체품 인 OLE 링크뿐만 아니라 DDE 업데이트가 비활성화됩니다. Publisher에서는 DDE와 OLE를 모두 사용하지 않도록 Word에 동일한 레지스트리 키를 설정하는 것이 좋습니다.

Windows 10 Fall Creator 업데이트에서 Windows Defender Exploit Guard를 사용하여 DDE 맬웨어를 차단하는 것이 좋습니다. 특히 악의적 인 문서가 나타내는 동작을 차단하는 공격 표면 감소 구성 요소를 사용하는 것이 좋습니다. MS는 ASR이 오피스 애플리케이션이 실행 가능한 콘텐츠를 만들고, 어린이 프로세스를 시작하고, 프로세스에 삽입하는 것을 막을 것이라고 말했다. 또한 매크로 코드를 차단하고 매크로 코드에서 Win32 가져 오기를 차단합니다.

DDE 기반 공격은 SensePost가 공격자가 DDE를 사용하여 컴퓨터에서 코드를 실행 하는 방법을 보여주는 개념 증명 공격을 게시 한 10 월 중순에 나타났습니다 이 회사는 8 월에 비공개로 자사의 조사를 공개했으며 Microsoft는 9 월 말 DDE가 기능이며 더 이상의 조치가 취해지지 않을 것이라고 응답했습니다.

1 주일 후, SANS 인터넷 스톰 센터 (SANS Internet Storm Center)는 Necurs 봇넷 에서 DDE 공격을 사용하여 Locky ransomware를 전파 하는 트래픽이 증가했다고보고 했습니다 . 스팸 캠페인은 매크로가 아닌 Word 문서 첨부 파일에서 DDE 기술을 채택했습니다. 매크로는 원격 서버에서 멀웨어를 다운로드하는 데 선호되는 방법이었습니다.

DDE를 사용하는 공격은 맬웨어 방지 및 침입 방지 스캐너를 우회하는 것으로 보입니다.

"분명히 DDE와 매크로는 모두 Microsoft Office의 정당한 기능입니다. 두 가지 모두 맬웨어 공격에 사용되었습니다. 두 경우 모두 악성 스팸의 Office 문서는 피해자에게 무슨 일이 일어나는지 알려주는 경고를 제공합니다. 문제를 해결하려면 DDE를 완전히 제거해야합니다. "SANS ISC 처리기 Brad Duncan은 지난 달 Threatpost와의 인터뷰에서 이렇게 말했습니다. "DDE가 기능이라면, 나는 패치되지 않을 것이라는 MS의 주장에 동의한다. 그러나 DDE에 대한 많은 기사에서는 OLE 기능으로 대체되었습니다. 그렇다면 Microsoft가 DDE를 완전히 제거하지 않는 이유는 무엇입니까? Microsoft가이 하위 호환성을 유지해야하는 합법적 인 DDE 사례가 있습니까? "

추천 컨텐츠