Обнаружен способ встроить зловредный JavaScript-код в файл Microsoft Word
Эксперты компании Cymulate обнаружили способ встроить зловредный JavaScript-код в файл Microsoft Word. Угроза связана с легитимной функцией, позволяющей добавлять в документы онлайн-видео. Уязвимость можно эксплуатировать без предварительной подготовки и при работающих защитных системах.
Как объяснили специалисты, зараженный файл *.docx фактически представляет собой архив — если поменять расширение на *.zip, документ можно распаковать. После этого преступник сможет менять содержимое, в частности, редактировать параметры, связанные с загрузкой медиа из Интернета.
Для проведения атаки следует создать Word-документ и встроить в него любое онлайн-видео через верхнее меню «Вставить» (Insert). В последних версиях Microsoft Office разработчики предусмотрели специальную опцию для добавления медиа из Интернета.
Сохраненный документ с встроенным видео затем преобразуется в архив и распаковывается. В списке содержимого нужно найти файл Document.xml — именно к нему Microsoft Word обращается за инструкциями по работе с контентом.
Чтобы встроить вредоносный код, злоумышленнику достаточно заменить iframe-элемент с окном видеопроигрывателя под тегом embeddedHtml и сохранить обновленный Document.xml. Теперь при открытии файла MS Word выполнит соответствующий скрипт вместо того, чтобы загрузить изначальное видео.
По словам специалистов, уязвимость актуальна для MS Office 2016 и позже. Они предупреждают, что описанный метод могут взять на вооружение фишеры, которые будут прикладывать опасные документы к электронным письмам. Особую тревогу вызывает тот факт, что при открытии вредоносного файла защитные системы не предупреждают пользователя об опасном содержимом.
Отследить небезопасное содержимое можно через поиск тега embeddedHtml в Document.xml внутри файла *.docx.
https://threatpost.ru/microsoft-office-embedded-online-video-vulnerability/28937/
https://blog.cymulate.com/abusing-microsoft-office-online-video
Как объяснили специалисты, зараженный файл *.docx фактически представляет собой архив — если поменять расширение на *.zip, документ можно распаковать. После этого преступник сможет менять содержимое, в частности, редактировать параметры, связанные с загрузкой медиа из Интернета.
Для проведения атаки следует создать Word-документ и встроить в него любое онлайн-видео через верхнее меню «Вставить» (Insert). В последних версиях Microsoft Office разработчики предусмотрели специальную опцию для добавления медиа из Интернета.
Сохраненный документ с встроенным видео затем преобразуется в архив и распаковывается. В списке содержимого нужно найти файл Document.xml — именно к нему Microsoft Word обращается за инструкциями по работе с контентом.
Чтобы встроить вредоносный код, злоумышленнику достаточно заменить iframe-элемент с окном видеопроигрывателя под тегом embeddedHtml и сохранить обновленный Document.xml. Теперь при открытии файла MS Word выполнит соответствующий скрипт вместо того, чтобы загрузить изначальное видео.
По словам специалистов, уязвимость актуальна для MS Office 2016 и позже. Они предупреждают, что описанный метод могут взять на вооружение фишеры, которые будут прикладывать опасные документы к электронным письмам. Особую тревогу вызывает тот факт, что при открытии вредоносного файла защитные системы не предупреждают пользователя об опасном содержимом.
Отследить небезопасное содержимое можно через поиск тега embeddedHtml в Document.xml внутри файла *.docx.
https://threatpost.ru/microsoft-office-embedded-online-video-vulnerability/28937/
https://blog.cymulate.com/abusing-microsoft-office-online-video
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.