La fonctionnalité Dynamic Data Exchange de Microsoft exploitée activement par des maliciels

Dynamic Data Exchange (DDE) est un protocole utilisé par Microsoft pour l'échange de données entre applications. Permettant de charger de l’information à partir d’un lien externe, une personne malveillante peut utiliser cette fonctionnalité pour charger du code ou propager un maliciel comme c’est le cas pour la nouvelle variante du rançongiciel Locky.

L’exploitation de ce mécanisme d’échange de données peut mener à une exécution de code malveillant sur un ordinateur cible depuis un serveur d’attaque.

La fonctionnalité, embarquée dans les documents Office, ne nécessite pas l’activation des macros et ne génère pas d’avertissement de sécurité. De plus, la plupart des antivirus sont inefficaces face à ce vecteur d’intrusion.

Ainsi, tout utilisateur du document infecté pourra être victime de l’attaque en acceptant la mise à jour du document à partir du site externe. Connaissant l’objectif premier de la fonctionnalité, l’accord se fait généralement sans suspicion de la part des utilisateurs.

Lors de l’explication de l’attaque, les chercheurs ont fait une démonstration avec l’utilisation d’un document ouvrant une calculatrice sur le bureau du poste de la victime.

Dans le cas d’une attaque réelle, une personne malveillante pourrait déployer un malware sur le poste et faire communiquer celui-ci via le port DNS par exemple pour que les communications du malware avec son serveur de contrôle n’attire pas les soupçons des mécanismes antiviraux.

L’exploit est réalisable sur de nombreux produits Microsoft comme Excel, Word, Outlook, PowerPoint etc.

Après signalement de l’exploit, Microsoft a souligné que la fonctionnalité est légitime et qu’aucun patch ne sera publié prochainement. La meilleure solution pour se protéger reste donc de désactiver l’option de « mise à jour automatique des liens à l’ouverture » au travers du registre ou des options en empruntant le chemin : Options => Avancé => Général et décocher « mise à jour automatique des liens à l’ouverture ».

Il est recommandé également de rester vigilant vis-à-vis des pièces jointes reçues de correspondants inconnus.