Mitigazioni per Documenti Office Infetti (Tecnica DDE)  

 

Proto: N011117.

Con la presente Yoroi desidera informarLa riguardo alla recente pubblicazione di indicazioni atte alla mitigazione di una particolare tecnica di attacco utilizzata in recenti campagne di propagazione Malware basate sull’invio di documenti Office contenenti exploit DDE (Dynamic Data Exchange). Tali tecniche sono correntemente utilizzate da diversi attori malevoli in ambito Cyber-Crime e Cyber-Espionage, come ad esempio ondate di attacco Locky ransomware ai danni di Organizzazioni italiane e campagne di infezione mirate APT28.



Figura 1. Esempio rilevamento exploit DDE in campagna malspam Locky rilevata (f5564925dd68e23672d898e0a590340e)


A tale proposito Microsoft ha rilasciato un apposito bollettino di sicurezza contenente indicazioni di mitigazione utili al disarmo dei documenti malevoli basati su exploit DDE, vengono infatti riportate chiavi di registro e valori da configurare al fine di disabilitare le funzionalità Dynamic Data Exchange sfruttate durante gli attacchi. In dettaglio:

[HKEY_CURRENT_USERSoftwareMicrosoftOffice12.0ExcelSecurity]
WorkbookLinkWarnings(DWORD) = 2
[HKEY_CURRENT_USERSoftwareMicrosoftOffice12.0WordOptionsvpref]
fNoCalclinksOnopen_90_1(DWORD)=1
[HKEY_CURRENT_USERSoftwareMicrosoftOffice12.0WordOptionsvpref]
fNoCalclinksOnopen_90_1(DWORD)=1
[HKEY_CURRENT_USERSoftwareMicrosoftOffice14.0ExcelSecurity]
WorkbookLinkWarnings(DWORD) = 2
[HKEY_CURRENT_USERSoftwareMicrosoftOffice14.0WordOptionsWordMail]
DontUpdateLinks(DWORD)=1
[HKEY_CURRENT_USERSoftwareMicrosoftOffice14.0WordOptions]
DontUpdateLinks(DWORD)=1
[HKEY_CURRENT_USERSoftwareMicrosoftOffice16.0ExcelSecurity]
WorkbookLinkWarnings(DWORD) = 2
[HKEY_CURRENT_USERSoftwareMicrosoftOffice16.0WordOptionsWordMail]
DontUpdateLinks(DWORD)=1
[HKEY_CURRENT_USERSoftwareMicrosoftOffice16.0WordOptions]
DontUpdateLinks(DWORD)=1
[HKEY_CURRENT_USERSoftwareMicrosoftOffice15.0ExcelSecurity]
WorkbookLinkWarnings(DWORD) = 2
[HKEY_CURRENT_USERSoftwareMicrosoftOffice15.0WordOptionsWordMail]
DontUpdateLinks(DWORD)=1
[HKEY_CURRENT_USERSoftwareMicrosoftOffice15.0WordOptions]
DontUpdateLinks(DWORD)=1
[HKEY_CURRENT_USERSoftwareMicrosoftOffice16.0OneNoteOptions]
“DisableEmbeddedFiles”=dword:00000001
[HKEY_CURRENT_USERSoftwareMicrosoftOffice15.0OneNoteOptions]
“DisableEmbeddedFiles”=dword:00000001


Per questa ragione, Yoroi suggerisce di pianificare e testare l’applicazione delle configurazioni contenute nel bollettino Microsoft Security Advisory 4053440 all’interno delle postazioni client in uso presso le vostre Organizzazioni.

Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”.
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index