Уязвимость в MS Word позволяет выполнить код через встроенное видео
Исследователи компании Cymulate обнаружили в Microsoft Word критическую уязвимость, позволяющую удаленно выполнить произвольный код. Проэксплуатировать уязвимость можно, заставив жертву открыть вредоносный документ и кликнуть на встроенное видео.
Проблема связана с тем, как Office 2016 и более ранние версии обрабатывают видеоматериалы. Злоумышленники могут использовать ее в фишинговых атаках и отправлять жертвам документы со встроенным YouTube-видео (или любым другим online-видео), прикрывая им запущенный в фоновом режиме html- или javascript-код.
Для осуществления атаки злоумышленники должны встроить видео в документ Word, отредактировать XML-файл с именем document.xml и заменить ссылку на видео модифицированной полезной нагрузкой, открывающей менеджер загрузки Internet Explorer со встроенным файлом для выполнения кода.
По словам исследователей, именно в XML-файле и кроется наибольшая угроза. Злоумышленники могут модифицировать параметр embeddedHTML таким образом, чтобы плавающий фрейм видео перенаправлялся на нужный html- или javascript-код.
Официального исправления для уязвимости нет, и единственный способ обезопасить себя от ее эксплуатации – включить блокировку для файлов со встроенным видео. Похоже, Microsoft не будет выпускать патч, поскольку ПО работает как положено. «Продукт правильно интерпретирует HTML, как и было задумано, и работает по тому же принципу, что и другие аналогичные продукты», приводит The Register слова старшего директора компании Джеффа Джонса.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш