PoC驗證 Microsoft Office和偽裝YouTube鏈接傳播惡意軟件
責編:gltian |2018-10-31 13:38:56據(jù)研究人員稱,視頻嵌入微軟Word文檔的方式已經(jīng)發(fā)現(xiàn)了一種隱秘的惡意軟件傳遞策略。?當用戶點擊Word文檔中的武器化YouTube視頻縮略圖時,它允許JavaScript代碼執(zhí)行,然而Microsoft Office不會顯示警告消息。
PoC執(zhí)行惡意視頻代碼 office不會發(fā)出警告
Cymulate的研究人員利用YouTube視頻鏈接和Word文檔構(gòu)建了一個POC(盡管可以將其他類型的視頻嵌入到Word中,研究人員沒有測試其他視頻形式和使用其他Office應用程序)。
Word的視頻嵌入功能在視頻圖像后面創(chuàng)建一個HTML腳本,當點擊文檔中的縮略圖時,該腳本由Internet Explorer執(zhí)行。
編輯HTML代碼替換word配置文件
根據(jù)?Cymulate?分析?,該團隊發(fā)現(xiàn)可以編輯HTML代碼來替換word配置文件,以指向惡意軟件,而不是真正的YouTube視頻。
“一個名為’document.xml’的文件是Word使用的默認XML文件,你可以提取和編輯,?嵌入的視頻配置將在那里提供,其中包含一個名為’embeddedHtml’的參數(shù)和一個用于YouTube視頻的iFrame,可以用您自己的HTML替換。”
在PoC中,替換HTML包含Base64編碼的惡意軟件二進制文件,用于打開安裝惡意軟件的Internet Explorer的下載管理器。?該視頻對用戶來說似乎是合法的,但惡意軟件將在后臺靜默解壓縮。
“成功利用可以允許任何代碼執(zhí)行 – 勒索軟件,木馬,并且可以逃避防病毒檢測。
文檔可通過網(wǎng)絡(luò)釣魚傳播
攻擊需要對手說服某人打開文檔,然后點擊嵌入的視頻;?網(wǎng)絡(luò)釣魚是最好的攻擊手段。?默認情況下,Word在執(zhí)行嵌入式視頻代碼之前不會詢問權(quán)限,因此當目標點擊視頻縮略圖時,Microsoft Office不會提供安全警告或?qū)υ捒颉?/p>
“它確實需要網(wǎng)絡(luò)釣魚技能才能讓某人點擊[視頻]視頻,?文檔中的視頻圖像不會顯示任何不合法的YouTube視頻。”
該研究人員表示,該方法有可能影響所有使用Office 2016和舊版生產(chǎn)力套件的用戶。?他補充說,他通知微軟,但該公司不承認該技術(shù)是一個漏洞。
微軟高級主管說:“該產(chǎn)品正在按照設(shè)計正確地解釋HTML – 與同類產(chǎn)品的工作方式相同。”
企業(yè)及時更新病毒庫
企業(yè)可以根據(jù)更新最新的病毒庫來檢測包含視頻的word文檔
原文鏈接:https://threatpost.com/poc-attack-leverages-microsoft-office-and-youtube-to-deliver-malware/138585/
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評估基準,覆蓋6大類別37種方法
- 引領(lǐng)智能運維!全新FortiAIOps 3.0重新定義IT運營
- MirageFlow:一種針對Tor的新型帶寬膨脹攻擊
- 英偉達約談事件的制度邏輯與趨勢展望
- 國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家信息化發(fā)展報告(2024年)》
- 火狐中國終止運營:辦公地無人,用戶賬號數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評估標準化應用實踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時代!