Office DDE攻击对Outlook同样有效

10月24日讯 研究人员先前发现，攻击者可通过被感染的Office附件（例如Word和Excel文件）利用DDE协议启动恶意软件，而无需使用宏。Sophos研究人员也一直在关注微软动态数据交换（DDE）协议中的漏洞。

上周五，几份独立的报告显示，攻击者可使用微软Outlook富文本格式（RTF）的电子邮件和日历邀请（Calendar Invite）在Outlook中发起DDE攻击，而不只是发送电子邮件的Office附件加以实现。

攻击者通常须诱骗用户打开恶意附件，如果将恶意代码注入电子邮件正文，攻击便会更进一步，这就意味着需要借助社会工程使收件人“上套”。

值得庆幸的是，无论通过附件、电子邮件或日历邀请发起DDE攻击，用户可轻易阻止此类攻击。

用户将“否”进行到底就可以避免

附件、电子邮件和日历邀请触发DDE攻击之前会弹出两个提示对话框，若用户将“否”践行到底，便可轻而易举防止此类阻止。SophosLabs尚未发现任何绕过这些对话框的机制。

首先，当使用DDE协议时会出现以下提示对话框：

提示该文档包含的链接可能引用了其它文件，是否使用链接文件的数据更新此文档？

用户只需点击“否”来阻止DDE攻击运行。

若点击“是”，用户便会看到第二个对话框提示远程数据（k powershell -w hidden -NoP -NoExit -）无法访问，是否启动应用C:\windows\system32\cmd.exe？

用户应点击“否”阻止攻击。

此外，用户通过纯文本格式查看消息也能阻止直接内嵌在电子邮件中的DDE攻击。

值得注意的是，纯文本格式会禁用所有样式，包括颜色和图片，包括以HTML格式发送的电子邮件。

Sophos产品阻止了以下DDE攻击：

• CXmail/OffDDE-*：电子邮件附件和陷阱消息。

• Troj/RtfDDE-*： 陷阱RTF文件。

• Troj/DocDl-DJV：试图下载其它恶意软件的DDE攻击。