WindowsのDDE、マルウェアも活用中

先日、WindowsのDDE(Dynamic Data Exchange)機能を用いてマルウェアを実行させるテクニックが公表されていました。

MS-Wordでマクロを使わずコード実行」

sensepost.com

DDEは古くからWindowsに存在する仕組みですが、そこから各種実行ファイルを起動できてしまいます。しかもその際に出るメッセージは、セキュリティを全く想定させないものです。

この文書には、他のファイルへのリンクが含まれています。リンクされたファイルのデータでこの文書を更新しますか?

マイクロソフトはこの調査結果(公表前)に対して「これは仕様であり対応は行わないが次のバージョン(?)ではバグ候補とする」と返答。これを受けて公表に至っています。

そして、実際にマルウェアにより利用されているのが現状です。

「パッチされないWordのDDE経由の攻略法、広範なマルウェア攻撃で活用進む」

thehackernews.com

上記記事によれば、DNSMessenger RAT(トロイの木馬)やNecursボットネット(600万台のPCが感染しているとされるもの)、Hancitorマルウェア(各種マルウェアダウンローダー)などがDDEを利用するようになっているとのこと。

DDEは「仕様」なので、機能を止めづらいのですが、例えばWordなら、ファイルメニューから「オプション」→「詳細設定」→「文書を開いたときにリンクを自動的に更新する」のチェックを解除すると、勝手に実行するのだけは防げます(Excelでも同様の場所にある「リンクの自動更新前にメッセージを表示する」のチェックを「入れる」のようですね)。

ただし、メッセージに対してリンクの更新を許可したら実行されるので、あくまで外からのファイルを開く際には注意が必要です。