Windows proporciona varios métodos para transferir datos entre aplicaciones. Un método es usar el protocolo de intercambio dinámico de datos (DDE). Este protocolo es un conjunto de mensajes que se intercambian entre aplicaciones que comparten datos y usan memoria compartida. Las aplicaciones pueden usar DDE para realizar transferencias de datos a medida que necesiten disponer de ellos.

Los investigadores Etienne Stalmans, Saif El-Sherei de SensePost han encontrado que esta "funcionalidad" en Office permite ejecutar comandos y dicen haber tenido un gran éxito al utilizar esta técnica para eludir políticas de segurida corporativas. DDE no solo se limita a Excel y Word y ha sido mencionado varias veces como una vía posible de ataques y bypass de seguridad.

Según los investigadores, los métodos COM DDEInitialize y DDEExecute son expuestos tanto por MSExcel como por MSWord y descubrieron que es posible ejecutar código desde  la opción Insert tab -> Quick Parts -> Field -> Formula, o su equivalente CTRL+F9.
Despúes de agregar el campo, aparece el error "!Unexpected End of Formula" y en este momento se puede agregar el comando que se desea ejecutar. Por ejempo:

{ DDEAUTO c:\\windows\\system32\\cmd.exe "/k ARCHIVO.exe" }

La palabra clave DDEAUTO es para informar a MSWord que este es un campo DDE, y se ejecutará automáticamente cuando se abra el documento, la segunda parte es la ruta completa del ejecutable, y la última parte entre comillas son los argumentos para pasar a este ejecutable (por ejemplo calc.exe).

Ahora se puede grabar el documento y, al momento de abrirlo, se ejecuta el comando.

Al momento de escribir el presente muy pocos antivirus detectan el documento como dañino o sospechoso.

Microsoft por ahora ha dicho que no cambiará el comportamiento de DDE, por lo que sin duda comenzará a ser utilizado para propagar malware, ya que es posible ejecutar PowerShell y desde ahí realizar un bypass completo.

Fuente: SensePost