A Microsoft lançou uma atualização para o Word que desativa uma funcionalidade do programa, o Dynamic Data Exchange (DDE). O DDE serve para que o Word consiga extrair dados de outros programas, tais como uma planilha do Excel, mas hackers estavam tirando proveito do DDE para fazer com que o Word executasse comandos capazes de instalar vírus no computador.

Ao abrir um documento malicioso, o usuário recebia um alerta de segurança afirmando que o documento continha vínculos que precisavam ser atualizados. Caso o usuário concordasse, a contaminação do computador prosseguia.

O truque foi usado pelo FIN7, um grupo criminoso que invade alvos específicos. Esses invasores são notórios por seus alvos ligados ao setor financeiro e normalmente entram na rede das empresas por meio de documentos do Word que exploram algum recurso para executar código no sistema da vítima.

Depois, a técnica também foi adotada por outros invasores, entre os quais o APT28 e a rede zumbi Necurs. Esta última injetou um código de instalação do vírus de resgate Locky nos documentos maliciosos.

A mudança feita pela Microsoft é exclusiva para o Microsoft Word e não modifica o comportamento de outros programas, tais como o Outlook e o Excel. No documento sobre a atualização, a companhia disse que ainda está investigando o problema.

O DDE é um dos recursos mais antigos do Word e está presente nas versões modernas apenas para compatibilidade com documentos antigos. O DDE foi introduzido no Windows no fim da década de 1980. Até o recurso de macros — um dos mais explorados por hackers — é mais novo e foi incluído apenas no Word 97. Ainda na década de 1990, a Microsoft substituiu o DDE pelo Object Linking and Embedding (OLE), que tem a mesma função e continua ativo no Word.

O ataque com base no DDE foi descrito em outubro pela empresa de segurança SensePost. A SensePost entrou em contato com a Microsoft, que afirmou que o comportamento do DDE é uma funcionalidade do Word e não uma falha e que, por isso, nenhuma ação seria tomada a respeito do caso.

A rápida adoção da técnica por grupos de ataque, como o FIN7, parece ter feito a Microsoft reavaliar o problema.

O ataque conceitual demonstrado pela SensePost fazia o Word exibir dois alertas antes de funcionar, mas a empresa avisou que era possível modificar a técnica para dispensar o segundo alerta. Ataques reais encontrados por empresas de segurança, como o do FIN7, exibiam apenas um alerta, o que tornou o golpe muito mais atrativo para os invasores, já que o primeiro alerta (sobre “atualização de vínculos”) não dava pistas sobre o risco da execução de códigos maliciosos.