DDE - renaissance d'une vieille technique pour piéger des documents Office

Date : 08 Novembre 2017

Contexte

Dans Microsoft Office, le protocole DDE (Dynamic Data Exchange) est un ensemble de messages et d’instructions. Il permet l'envoi de messages entre des applications et utilise la mémoire partagée pour échanger des données. Les applications (Word, Excel, Outlook, PowerPoint, ...) peuvent utiliser DDE pour des transferts de données ponctuels et pour des échanges continus lors desquels celles-ci s’envoient des mises à jour dès que de nouvelles données sont disponibles.

Par exemple, un document Word peut automatiquement mettre à jour un tableau qu'il contient, en récupérant des données depuis un document Excel.

 

La technique d'attaque

D'ordinaire, l'une des méthodes les plus utilisées pour piéger un document Office (joint à un e-mail par exemple), consiste à y inclure des macros Visual Basic (VBA) ou des objets OLE (Object Linking and Embedding). Lorsque la victime ouvre le document, un avertissement de sécurité lui est présenté. Si elle décide de l'ignorer, les macros incluses dans le document sont exécutées et peuvent conduire au téléchargement et à l'exécution de n'importe quel programme arbitraire sur le système. Cette technique est aujourd'hui bien connue (un grand nombre de vagues d'e-mails malveillants plus ou moins ciblées y ont eu recours), et de tels documents peuvent éventuellement être détectés et bloqués au niveau des passerelles de messagerie.

Mais début octobre 2017, le site SensePost a rappelé dans un article, exemples à l'appui, que le protocole DDE de Windows pouvait non seulement être utilisé pour invoquer des données externes à un document, mais aussi pour lancer d'autres processus. Par exemple, insérer un champ doté du code suivant dans Word provoquera le lancement de la calculatrice de Windows à l'ouverture du document :

  • {DDEAUTO c:\\windows\\system32\\cmd.exe "/k calc.exe"}

D'autres rapports ont même montré qu'il était possible d'invoquer DDE directement dans des e-mails ou des invitations Outlook utilisant le format texte riche (RTF), donc sans même nécessiter l'ouverture d'une pièce jointe.

Ce type d'attaque existe en fait depuis le début des années 90, lorsque la fonctionnalité DDE a été introduite dans Office, mais elle n'avait jamais été utilisée dans des campagnes de grande envergure jusqu' à présent.

Quelques jours après l'article de SensePost, le site SANS Internet Storm Center a publié un rapport documentant les premières vagues d'e-mails malveillants utilisant des documents Word attachés piégés avec la technique DDE. Un nombre important d'autres rapports ont été publiés par la suite, montrant que DDE devenait de plus en plus courant parmi les techniques mettant en oeuvre des documents Office pour faire diversion. Voici quelques articles ayant illustré cette tendance ces dernières semaines :

Cependant, il faut noter que, même si la technique DDE semble intéressante et finalement assez nouvelle dans le paysage de la menace (notons un taux de détection faible sur les passerelles de messagerie), elle est potentiellement moins efficace que les macros VBA auprès des utilisateurs car elle génère deux avertissements (au lieu d'un seul) : le premier informant l'utilisateur de la présence d'une ressource externe dans le document ou l'e-mail, l'autre demandant la permission d'exécuter le programme externe référencé. Dès lors, il est difficile de savoir si cette technique va réellement devenir "à la mode". Dès fin octobre par exemple, un rapport publié sur le site Malware-Traffic-Analysis.net a signalé que le botnet Necurs, l'un des principaux acteurs pour ce qui est du spam non ciblé, abandonnait finalement DDE pour le remplacer par l'inclusion d'objets OLE dans des documents Word.

 

Réaction de Microsoft et mesures de protection

Selon Microsoft qui a été consulté dès le mois d'août 2017 par SensePost, DDE est une fonctionnalité dont le comportement observé est bien celui qui est prévu. En aucun cas, il s'agit pour l'éditeur d'une vulnérabilité. On comprend qu'à l'image des autres fonctionnalités potentiellement dangereuses comme le scripting VBA ou les objets embarqués (OLE), c'est avant tout à l'utilisateur d'être vigilant face à des documents générant des avertissements suspects.

Malgré tout, face à l'emballement médiatique lié à ce vecteur d'attaque, Microsoft a publié le 8 novembre 2017, un avis de sécurité (4053440) fournissant plusieurs recommandations afin de limiter les risques. L'avis de sécurité propose deux niveaux de recommandations :

  • Une liste générale de clés de registre contrôlant les fonctionnalités de sécurité et le contrôle d'accès dans Office. Nous vous invitons à passer en revue cette liste afin de définir/améliorer votre standard de sécurité applicable aux installations d'Office sur votre parc informatique.
  • Une liste spécifique de clés de registre contrôlant l'accès à la fonctionnalité DDE pour les différents logiciels de la suite Office (Word, Excel, PowerPoint, Outlook, Publisher, ...). Les clés en question permettent de désactiver la mise à jour automatique des champs contenant une référence DDE. Par souci de lisibilité dans cet article, nous ne listons pas ces clés. Mais il est important de noter qu'Excel utilise particulièrement DDE et que la modification des paramètres pour cette application a un impact important sur la façon dont les cellules de tableau se mettent à jour lorsqu'elles référencent des contenus externes.

Finalement, les mises à jour de sécurité Microsoft de décembre 2017 ont désactivé par défaut la fonction DDE dans Word.

Pour plus d'informations

Précedent Précedent Suivant Suivant Imprimer Imprimer