PoC验证 Microsoft Office和伪装YouTube链接传播恶意软件
据研究人员称,视频嵌入微软Word文档的方式已经发现了一种隐秘的恶意软件传递策略。 当用户点击Word文档中的武器化YouTube视频缩略图时,它允许JavaScript代码执行,然而Microsoft Office不会显示警告消息。
PoC执行恶意视频代码 office不会发出警告
Cymulate的研究人员利用YouTube视频链接和Word文档构建了一个POC(尽管可以将其他类型的视频嵌入到Word中,研究人员没有测试其他视频形式和使用其他Office应用程序)。
Word的视频嵌入功能在视频图像后面创建一个HTML脚本,当点击文档中的缩略图时,该脚本由Internet Explorer执行。
编辑HTML代码替换word配置文件
根据 Cymulate 分析 ,该团队发现可以编辑HTML代码来替换word配置文件,以指向恶意软件,而不是真正的YouTube视频。
“一个名为’document.xml’的文件是Word使用的默认XML文件,你可以提取和编辑, 嵌入的视频配置将在那里提供,其中包含一个名为’embeddedHtml’的参数和一个用于YouTube视频的iFrame,可以用您自己的HTML替换。”
在PoC中,替换HTML包含Base64编码的恶意软件二进制文件,用于打开安装恶意软件的Internet Explorer的下载管理器。 该视频对用户来说似乎是合法的,但恶意软件将在后台静默解压缩。
“成功利用可以允许任何代码执行 – 勒索软件,木马,并且可以逃避防病毒检测。
文档可通过网络钓鱼传播
攻击需要对手说服某人打开文档,然后点击嵌入的视频; 网络钓鱼是最好的攻击手段。 默认情况下,Word在执行嵌入式视频代码之前不会询问权限,因此当目标点击视频缩略图时,Microsoft Office不会提供安全警告或对话框。
“它确实需要网络钓鱼技能才能让某人点击[视频]视频, 文档中的视频图像不会显示任何不合法的YouTube视频。”
该研究人员表示,该方法有可能影响所有使用Office 2016和旧版生产力套件的用户。 他补充说,他通知微软,但该公司不承认该技术是一个漏洞。
微软高级主管说:“该产品正在按照设计正确地解释HTML – 与同类产品的工作方式相同。”
企业及时更新病毒库
企业可以根据更新最新的病毒库来检测包含视频的word文档
原文链接:https://threatpost.com/poc-attack-leverages-microsoft-office-and-youtube-to-deliver-malware/138585/
相关文章
- 4条评论
- 嘻友卮留2022-05-29 15:54:54
- 类型的视频嵌入到Word中,研究人员没有测试其他视频形式和使用其他Office应用程序)。Word的视频嵌入功能在视频图像后面创建一个HTML脚本,当点击文档中的缩略图时,该脚本由Inter
- 惑心寒洲2022-05-29 06:12:45
- 据研究人员称,视频嵌入微软Word文档的方式已经发现了一种隐秘的恶意软件传递策略。 当用户点击Word文档中的武器化YouTube视频缩略图时,它允许JavaScript代码执行,然而Microsoft Office不会显示警告消息。PoC执行恶意视频代码 of
- 世味旧竹2022-05-29 08:52:41
- 默认情况下,Word在执行嵌入式视频代码之前不会询问权限,因此当目标点击视频缩略图时,Microsoft Office不会提供安全警告或对话框。“它确实需要网络钓鱼技能才能让某人点击[视频]视频, 文档中的视频图像不会显示任何不合
- 鸢旧寺瞳2022-05-29 06:54:50
- 编辑HTML代码替换word配置文件根据 Cymulate 分析 ,该团队发现可以编辑HTML代码来替换word配置文件,以指向恶意软件,而不是真正的YouTube视频。“一个名为’document.xml’的文件是Word使用的默认XML文件,你可以提取和编辑, 嵌入的视频配置将在那里提供,其中包