Sebagai bagian dari Patch Microsoft telah memberikan pembaruan pada Microsoft Office yang kali ini menonaktifkan fitur DDE di Word, dikarenakan beberapa serangan cyber telah menyalahgunakan fitur ini untuk menginstal malware.
DDE adalah singkatan dari Dynamic Data Exchange, dan ini adalah fitur Office yang memungkinkan aplikasi Office memuat data dari aplikasi Office lainnya. Sebagai contoh, file Word dapat memperbarui tabel dengan menarik data dari file Excel setiap kali file Word dibuka.
DDE adalah fitur lama, yang telah digantikan oleh Microsoft melalui toolkit Object Linking and Embedding (OLE) yang baru, namun DDE sampai saat ini masih didukung oleh aplikasi Office.
Pada bulan Oktober 2017, peneliti keamanan dari SensePost menerbitkan sebuah tutorial tentang bagaimana fitur DDE dapat diformat dan disalahgunakan untuk menyebarkan malware.
Bahkan DDE telah disalahgunakan untuk menyebarkan malware di tahun 90’n, metode baru yang dijelaskan dalam tutorial SensePost segera diambil dan dijalankan oleh distributor malware. Kelompok pertama yang menggunakan metode ini adalah FIN7, sekelompok hacker yang mengkhususkan diri dalam penyerangan organisasi keuangan.
Pada saat itu, Microsoft tidak menganggap DDE sebagai kerentanan di suite Office namun Microsoft hanya mengatakan bahwa itu hanyalah fitur sah yang disalahgunakan untuk menyebarkan malware.
Alasan mengapa Microsoft tidak menganggap DDE sebagai masalah keamanan adalah bahwa Office menunjukkan peringatan sebelum membuka file. Ini hanyalah kasus lain di mana pembuat malware telah menemukan cara kreatif untuk menyalahgunakan fitur yang sah, seperti OLE dan makro, yang juga memperingatkan pengguna sebelum menjalankannya.
Seiring pemanfaatan teknik DDE untuk menyebar malware mulai semakin meluas, tim keamanan Microsoft perlahan mulai berubah pikiran.
Tanda pertama adalah ketika Microsoft mengeluarkan Security Advisor 4053440 pada pertengahan Oktober, yang berisi rincian tentang bagaimana pengguna dapat menonaktifkan fitur DDE di aplikasi Office yang mendukungnya, seperti Word, Outlook, dan Excel.
Lalu sekarang, Microsoft mengambil langkah radikal untuk menonaktifkan DDE di dalam Word. Hal ini telah dilakukan oleh Office Defense di Depth Update ADV170021.
Pembaruan ini menambahkan kunci registri Windows baru yang mengontrol status fitur DDE untuk aplikasi Word. Nilai default untuk DDE di nonaktifkan. Berikut adalah nilai kunci registri, jika pengguna perlu mengaktifkan kembali DDE di Word:
- Pada Registry Editor akan diarahkan ke \HKEY_CURRENT_USER\Software\Microsoft\Office\version\Word\SecurityAllowDDE(DWORD)
- Tentukan nilai DWORD berdasarkan kebutuhan kamu sebagai berikut:
- AllowDDE(DWORD) = 0: Untuk menonaktifkan DDE. Ini adalah pengaturan default setelah kamu menginstal pembaruan.
- AllowDDE(DWORD) = 1: Untuk mengizinkan permintaan DDE ke program yang sudah berjalan, namun hindarkan permintaan DDE yang memerlukan program lain yang dapat dieksekusi.
- AllowDDE(DWORD) = 2: Untuk sepenuhnya mengizinkan permintaan DDE.
Microsoft kali ini sangat memperhatikan penyalahgunaan DDE belakangan ini sehingga ADV170021 juga menyertakan update untuk Word 2003 dan 2007.
Microsoft menyadari bahwa banyak pengguna dan perusahaan masih menerapkan kedua versi ini dan telah mengirimkan pembaruan darurat di luar jalur untuk melindungi pelanggan dari penyalahgunaan lebih lanjut.
Microsoft akan terus mendukung DDE di dalam Excel dan Outlook, dimana fitur ini akan tetap diaktifkan secara default. Microsoft menyarankan pengguna untuk membaca Security Advisor 4053440, di mana disitu merinci metode untuk menonaktifkan dukungan DDE melalui opsi GUI atau modifikasi registri Windows.
