动态数据交换

对手可能会使用Windows动态数据交换（DDE）来执行任意命令。DDE是一种客户端-服务器协议，用于应用程序之间的一次性和/或连续的进程间通信（IPC）。一旦建立链接，应用程序可以自主交换由字符串、热数据链接（数据项更改时的通知）、热数据链接（数据项更改的复制）和命令执行请求组成的事务。 对象链接和嵌入（OLE），或在文档之间链接数据的能力，最初是通过DDE实现的。尽管被组件对象模型取代，但DDE可能在Windows 10和大多数Microsoft Office 2016中通过注册表项启用。(引用: BleepingComputer DDE Disabled in Word Dec 2017)(引用: Microsoft ADV170021 Dec 2017)(引用: Microsoft DDE Advisory Nov 2017) Microsoft Office文档可以通过DDE命令中毒，直接或通过嵌入文件，并用于通过网络钓鱼活动或托管的Web内容进行执行，避免使用Visual Basic for Applications（VBA）宏。(引用: SensePost PS DDE May 2016)(引用: Kettle CSV DDE Aug 2014)(引用: Enigma Reviving DDE Jan 2018)(引用: SensePost MacroLess DDE Oct 2017) 类似地，对手可能会感染有效负载，通过在CSV文件中嵌入DDE公式来执行应用程序和/或命令，意图通过Windows电子表格程序打开。(引用: OWASP CSV Injection)(引用: CSV Excel Macro Injection ) DDE还可以被在受感染机器上操作的对手利用，而无需直接访问命令和脚本解释器。DDE执行可以通过远程服务（如分布式组件对象模型（DCOM））远程调用。(引用: Fireeye Hunting COM June 2019)