Cymulate安全公司的研究人员设计了一种新的秘密技术,可以利用嵌入到Microsoft Office文档中的视频来投递恶意软件。
当用户点击恶意Office文档中嵌入的恶意的YouTube视频缩略图时,该技术可在机器上执行ja vasc ript代码。
专家指出,在整个过程中,微软Office没有显示任何向受害者请求同意的验证信息。
“Cymulate的研究团队发现了一种滥用Microsoft Word中嵌入的在线视频特性来执行恶意代码的方法。攻击者可以将其用于钓鱼等恶意目的,文档看起来嵌入了链接到YouTube的在线视频,但同时隐藏的html/ja vasc ript代码将在后台运行,可能导致进一步的代码执行”Cymulate公司表示。
“这种攻击可以被任何嵌入Word文档里面的视频所触发,编辑名为document.xm l中的xm l文件中,通过与嵌入式代码执行的文件打开Internet Explorer的下载管理器,攻击者创建了特制的有效载荷替换视频链接进行”
安全专家们通过在Microsoft Office文档中嵌入YouTube视频创建了POC。
当视频嵌入Word文档时,会创建一个HTML脚本,当单击该文档中的缩略图时,该脚本将被Internet Explorer执行。
名为“document.xm l中”默认xm l文件可以被攻击者修改,特别是它可以修改包含一个名为“embeddedHtml”的参数,该参数原本包含YouTube的if rame代码,可被攻击者的恶意HTML所替换。
在研究人员提出的攻击场景中,他们编写的恶意HTML中包含一个ba se64编码的恶意二进制文件,这个二进制文件打开Internet Explorer的下载管理器,然后安装恶意代码。
POC的视频将展示这个攻击,恶意软件默默地安装在受害者的机器而不会引起怀疑。
插入视频后的文档
当点击时即下载文件
攻击工作流程如下:
1.创建Word文档。
2.嵌入在线视频:插入 ->在线视频并添加任何YouTube视频。
3.保存嵌入的在线视频保存Word文档。
4.解压缩Word文档:Docx文件实际上是所有媒体文件的包。要解压缩文件 - 通过使用解包器或将docx扩展名更改为zip并解压缩 - 单个docx文件中有几个文件和目录:
5.编辑word文件夹下的document.xm l文件
6.在.xm l文件中,查找包含Youtube if rame代码的embeddedHtml参数(在WebVideoPr下)。将当前if rame代码替换为要由Internet Explorer执行的任何html/ja vasc ript。
7.保存document.xm l文件中的更改,使用修改后的xm l更新docx包并打开文档。
专家表示,该攻击仅仅可以欺骗打开文档并点击嵌入视频的人。
Ben-Yossef,Cymulate的首席技术官解释说,反恶意软件的检测取决于攻击中使用的特定有效载荷及其实施的规避技术。
该特性在Office 2016和更旧的版本都存在,研究人员发提醒了微软,但微软不承认该技术是一个安全漏洞。
原文链接:https://securityaffairs.co/wordpress/77442/hacking/weaponized-microsoft-office-documents.html