通过Microsoft Office和YouTube视频传递恶意软件的PoC攻击

Change 新闻 2018年10月29日发布
Favorite收藏

导语:有研究人员称,在对微软Word文档嵌入视频时发现了一种较为隐秘的恶意软件传递策略,当用户点击Word文档中的一个伪装的YouTube视频缩略图时,将会导致JavaScript代码被执行,而Microsoft Office并不会显示请求用户同意的警报消息。

有研究人员称,在对微软Word文档嵌入视频时发现了一种较为隐秘的恶意软件传递策略,当用户点击Word文档中的一个伪装的YouTube视频缩略图时,将会导致JavaScript代码被执行,而Microsoft Office并不会显示请求用户同意的警报消息。

Cymulate的研究人员使用YouTube视频链接和Word文档构建了一个概念验证攻击(尽管可以在Word中嵌入其他类型的视频,但研究人员没有测试这些因素,也没有在其他Office应用程序中尝试)。

Word的视频嵌入功能会在视频图像后面创建一个HTML脚本,当用户点击文档中的缩略图时,Internet Explorer就会执行这个脚本并跳转到相应界面。

Cymulate于上周四发布的一份分析报告中表示,攻击者可以通过编辑HTML代码来指向恶意软件,而不是真正的YouTube视频。

Cymulate首席技术官Avihai Ben-Yossef解释说,

名为'document.xml'的文件是Word使用的默认XML文件,你可以对其提取和编辑,嵌入式视频配置中包含一个名为'embeddedHtml'的参数和一个用于YouTube视频的iFrame,可以用你自己的HTML进行替换。

在PoC中,替换后的HTML包含一个base64编码的恶意软件二进制文件,它会打开Internet Explorer的下载管理器,安装恶意软件。这个视频对用户看似是合法的,但是恶意软件已经悄无声息地潜入在了你的电脑之中。

Ben-Yossef表示,

通过对此项漏洞的有效利用,几乎可以让任何代码执行,比如勒索软件和木马病毒。而防病毒检测的机制取决于特定负载的其他逃避功能,很明显,这种攻击将会在0 day负载的情况下效果最好。攻击者需要先让对方执行打开文档的操作,接着点击嵌入的视频,由此来看,网络钓鱼是最好的攻击媒介。而在默认情况下,Word在执行嵌入视频代码之前不需要请求权限,所以微软Office在对方单击视频缩略图后并不会提示安全警告或对话框。

Ben-Yossef补充道,

要让人们点击视频,确实需要网络钓鱼技巧。但我们也需要提防的一点是,文件中的视频图像不会显露任何属于YouTube不合法视频的痕迹。

该研究人员表示,这种方法有可能对使用Office 2016和更早Office版本的用户产生影响。他表示自己已经向微软通报过了情况,但微软并不承认这是种技术漏洞。

研究人员补充道,

三个月前我们就将这个缺陷报告给了微软,我们已经验证过了通过此漏洞入侵用户电脑是完全可行的。微软并不承认这是他们技术上的漏洞,但微软允许我们公司发布我们的调查结果。

微软高级总监Jeff Jones在接受Threatpost采访时表示,

如果从微软的角度出发,视频嵌入功能的HTML执行是没有缺陷的。不光是微软的word产品,其他相似的产品的在此方面的设计机制跟我们也是一样的。

Ben-Yossef最后补充道,

幸运的是,计算机仍能够通过其安全控制系统来阻止此类攻击。通过阻止包含嵌入视频的Word文档,以及确保杀毒软件的更新程度,可以有效防止此类攻击的发生。

本文翻译自:https://threatpost.com/poc-attack-leverages-microsoft-office-and-youtube-to-deliver-malware/138585/如若转载,请注明原文地址: http://www.4hou.com/info/news/14256.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论