Error critico en la caracteristica de video online de Microsoft Word

Un error sin parche que abusó del futuro de Microsoft Word Online Video que permite a un atacante enviar archivos maliciosos al sistema de la víctima.

Un error que existe en la ejecución del código JavaScript dentro del componente de video integrado en la oficina lleva a los atacantes a ejecutar el código malicioso.

Esta falla afectó a Office 2016 y versiones anteriores y no producirá ninguna advertencia de seguridad mientras las víctimas abran el documento.

Los investigadores crearon una Prueba de concepto para este ataque utilizando el enlace de video de YouTube con el documento Word y demuestran el proceso de infección.

Esta falla permite que un atacante ejecute el poderoso malware o ransomware, también usarán la técnica de evasión para evitar la detección del software de seguridad.

Los piratas informáticos malintencionados tienen un enlace de video incrustado dentro del documento Word de Microsoft y lo envían a las víctimas a través del correo electrónico de suplantación de identidad para engañar a los usuarios para que lo abran.

El video incorporado contiene un enlace que apunta a YOUTUBE y al código html / javascript oculto que se ejecutará en segundo plano.

Según cymulate, este ataque se lleva a cabo incorporando un video dentro de un documento de Word, editando el archivo XML llamado document.xml, reemplazando el enlace del video con una carga útil creada por el atacante que abre el Administrador de descargas de Internet Explorer con la ejecución de código incrustado expediente.

Incruste una opción de video en línea dentro del documento de Word, vincule cualquier video de YouTube y guarde el documento.

Más tarde, descomprima el documento de Word con el desempaquetador o cambie la extensión como zip y descomprímalo donde puede encontrar los varios archivos junto con la carpeta de word.

El documento de Word contiene un archivo llamado document.xml y encuentra el parámetro embeddedHtml para identificar el código de iframe de Youtube y reemplazar el código de iframe actual con cualquier código html / javascript que Internet Explorer represente.

Un investigador de cymulate creó un PoC que contiene el ejecutable incrustado (como un blob de una base64). Una vez ejecutado, este código utilizará el método msSaveOrOpenBlob para activar la descarga del ejecutable abriendo el Administrador de descargas de Internet Explorer con la opción de ejecutar o guardar el archivo.

¿Como mitigar este problema? Bloquee los documentos de Word que contienen la etiqueta: “embeddedHtml” en el archivo Document.xml de los documentos de word.

Fecha actualización el 2021-10-28. Fecha publicación el 2018-10-28. Categoría: windows Autor: Oscar olg Mapa del sitio Fuente: gbhackers
windows