Funkce Online Video ve Wordu otevírá dveře útokům

12. 11. 2018 v sekci Článek

Chybu, která se nachází v jedné z nejpoužívanějších aplikací Microsoft Office, mohou útočníci zneužít například pro phishing a další nebezpečné aktivity.

Funkce Online Video umí za normálních okolností ozvláštnit dokument vložením videa přes odkaz z YouTube. Bezpečnostní odborníci ale upozornili na to, že je tato funkce zneužitelná, jelikož dokáže zamaskovat skrytý HTML/JavaScript kód běžící na pozadí. Tento kód může potenciálně aktivovat a spouštět další akce.

Scénář útoku zahrnuje následnou editaci XML souboru s názvem document.xml, který vzniká uložením dokumentu s videem. Může tak dojít k nahrazení odkazu na video předpřipraveným linkem s payloadem, který je po kliknutí přes Správce stahování Internet Exploreru stažen, následně dojde ke spuštění škodlivého kódu.

XML lze upravit po uložení dokumentu jednoduchým rozbalením celého souboru, který obsahuje všechny mediální soubory dokumentu. Následnou editací parametru embeddedHtml v document.xml lze nahradit původní iframe kód videa z YouTube. Zde je možné dosadit libovolný kód – tedy jakýkoliv HTML nebo JavaScript. Uživatel, který následně klikne na video v upraveném dokumentu v domnění, že jen spustí video, iniciuje nevědomky ještě další akci.

Odborníci z Cymulate vytvořili PoC s vloženým spustitelným kódem. Po spuštění tento kód využije metodu msSaveOrOpenBlob k uložení spustitelného souboru a vynutí jeho otevření.

Obranou proti možnému zneužití funkce vloženého videa ve Wordu je v tuto chvíli blokace dokumentů, které v document.xml obsahují tag „embeddedHtml“. Ještě účinnější (a jednodušší) je však blokovat všechny dokumenty s vloženým videem.

Zdroj: Cymulate






Tento web používá cookies. Více informací ROZUMÍM