El pasado mes de octubre contábamos cómo investigadores de seguridad habían encontrado una nueva técnica para ejecutar malware en Office sin utilizar las conocidas Macros, usando la función DDE, función que más adelante fue sustituida por el contenido OLE pero que, por motivos de compatibilidad, seguía estando disponible en la suite ofimática. Tras reportar este fallo a Microsoft, la compañía alegó que no se trataba de un problema de seguridad, sino una función, y que no era culpa suya que algunos usuarios la utilizaran con malas intenciones, por lo que no tenían intenciones de rectificar su decisión. Por suerte, parece que finalmente Microsoft ha recapacitado, y esta función ha sido deshabilitada en Word.
Esta misma semana Microsoft publicó sus parches de seguridad de diciembre de 2017, parches con los que ha corregido todo tipo de vulnerabilidades en las propias aplicaciones de la compañía. Además de corregir estas vulnerabilidades, uno de los parches lanzados exclusivamente para Office, finalmente, deshabilita la característica DDE, impidiendo que los piratas informáticos la sigan utilizando para instalar malware.
A pesar de que Microsoft había asegurado que ningún pirata informático iba a explotar esta vulnerabilidad, tan pronto como se dio a conocer no tardaron en aparecer los primeros casos en los que se aprovechaban de ella, y es que resulta mucho más fácil ejecutar malware en un ordenador sin levantar sospechas con DDE que utilizando, como hasta entonces, las Macros, totalmente detectables e incluso bloqueadas por defecto en la suite ofimática.
Cuando un usuario ejecutaba un documento de Word malicioso, automáticamente se ejecutaba la rutina DDE, con la cual se conectaba a un servidor remoto, descargaba un exploit y, después, se utilizaba para descargar, instalar y ocultar malware en los ordenadores de las víctimas. Todo ello, además, sin levantar sospechas.
Cómo activar, desactivar o configurar el estado de la función DDE
Ahora que finalmente Microsoft ha decidido solucionarlo con un parche de seguridad para Office, por defecto, si hemos descargado ya la actualización, estaremos protegidos. Además, en caso de necesitarlo, podremos activar la función de nuevo fácilmente gracias a la entrada que la compañía ha habilitado en el registro.
Esta nueva entrada de registro se encuentra en la ruta “\HKEY_CURRENT_USER\Software\Microsoft\Office\version\Word\Security\AllowDDE” y se trata de un valor DWORD que, según el valor que le demos, podemos hacer que funcione de una manera u otra:
- 0 – DDE desactivado. Este es el valor por defecto tras actualizar Windows.
- 1 – Permite DDE de un programa que ya se esté ejecutando, pero impide que se ejecuten programas.
- 2 – Permite DDE sin restricciones.
Esta función, por defecto, se desactiva solo en Word, pero Microsoft seguirá manteniéndola activa en Excel y Outlook.
Ahora que la función DDE está desactivada por defecto, al menos en Word, los usuarios podrán abrir documentos de forma mucho más segura, evitando correr el riesgo de caer en manos de los piratas informáticos, aunque nunca debemos olvidarnos de nuestro sentido común.
