PoC驗證 Microsoft Office和偽裝YouTube鏈接傳播惡意軟件
責編:gltian |2018-10-31 13:38:56據研究人員稱,視頻嵌入微軟Word文檔的方式已經發現了一種隱秘的惡意軟件傳遞策略。?當用戶點擊Word文檔中的武器化YouTube視頻縮略圖時,它允許JavaScript代碼執行,然而Microsoft Office不會顯示警告消息。
PoC執行惡意視頻代碼 office不會發出警告
Cymulate的研究人員利用YouTube視頻鏈接和Word文檔構建了一個POC(盡管可以將其他類型的視頻嵌入到Word中,研究人員沒有測試其他視頻形式和使用其他Office應用程序)。
Word的視頻嵌入功能在視頻圖像后面創建一個HTML腳本,當點擊文檔中的縮略圖時,該腳本由Internet Explorer執行。
編輯HTML代碼替換word配置文件
根據?Cymulate?分析?,該團隊發現可以編輯HTML代碼來替換word配置文件,以指向惡意軟件,而不是真正的YouTube視頻。
“一個名為’document.xml’的文件是Word使用的默認XML文件,你可以提取和編輯,?嵌入的視頻配置將在那里提供,其中包含一個名為’embeddedHtml’的參數和一個用于YouTube視頻的iFrame,可以用您自己的HTML替換。”
在PoC中,替換HTML包含Base64編碼的惡意軟件二進制文件,用于打開安裝惡意軟件的Internet Explorer的下載管理器。?該視頻對用戶來說似乎是合法的,但惡意軟件將在后臺靜默解壓縮。
“成功利用可以允許任何代碼執行 – 勒索軟件,木馬,并且可以逃避防病毒檢測。
文檔可通過網絡釣魚傳播
攻擊需要對手說服某人打開文檔,然后點擊嵌入的視頻;?網絡釣魚是最好的攻擊手段。?默認情況下,Word在執行嵌入式視頻代碼之前不會詢問權限,因此當目標點擊視頻縮略圖時,Microsoft Office不會提供安全警告或對話框。
“它確實需要網絡釣魚技能才能讓某人點擊[視頻]視頻,?文檔中的視頻圖像不會顯示任何不合法的YouTube視頻。”
該研究人員表示,該方法有可能影響所有使用Office 2016和舊版生產力套件的用戶。?他補充說,他通知微軟,但該公司不承認該技術是一個漏洞。
微軟高級主管說:“該產品正在按照設計正確地解釋HTML – 與同類產品的工作方式相同。”
企業及時更新病毒庫
企業可以根據更新最新的病毒庫來檢測包含視頻的word文檔