SSL信息网络安全研究人员透露,Microsoft Office 2016和旧版本中存在未修补的逻辑缺陷,可能允许攻击者将恶意代码嵌入文档文件中,诱使用户在其计算机上运行恶意软件。
由Cymulate的研究人员发现,该漏洞滥用Word文档中的“在线视频”选项,该功能允许用户嵌入带有YouTube链接的在线视频。
当用户将在线视频链接添加到MS Word文档时,在线视频功能会自动生成HTML嵌入脚本,该脚本在查看器单击文档内的缩略图时执行。
在微软拒绝承认报告中的问题。在发现安全漏洞三个月后,研究人员决定公开他们的调查结果。
新MS Word攻击如何工作?
由于Word Doc文件(.docx)实际上是其媒体和配置文件的zip包,因此可以轻松打开和编辑它。
根据研究人员的说法,可以编辑名为“document.xml”的配置文件,它是Word使用的默认XML文件,包含生成的嵌入视频代码,可以用任何HTML或javascript代码替换当前视频iFrame代码。 会在后台运行。
简单来说,攻击者可以通过将实际的YouTube视频替换为Internet Explorer下载管理器执行的恶意视频来利用该漏洞。
为了证明漏洞的程度,Cymulate研究人员创建了一个概念验证攻击,演示了一个带有嵌入视频的恶意制作文档,如果点击它会提示用户运行嵌入式可执行文件(作为base64的blob) - 当受害者点击视频缩略图时,不从互联网下载任何内容或显示任何安全警告。
黑客攻击需要攻击者说服受害者打开文档,然后单击嵌入的视频链接。
Cymulate研究人员负责任地报告了这个错误,这个错误影响了三个月前向微软提供MS Office 2016和旧版生产力套件的所有用户,但该公司拒绝承认这是一个安全漏洞。
显然,微软没有计划解决这个问题,并表示其软件“正确地按照设计解释HTML”。
同时,研究人员建议企业管理员阻止包含嵌入式视频标记的Word文档:Document.xml文件中的“embeddedHtml”,并建议最终用户不要打开来自未知或可疑来源的未经邀请的电子邮件附件。