Функцию встроенного видео в Microsoft Word можно использовать для атаки

Олег Иванов 29 Октября 2018 - 10:03

Домашние пользователи

...

Команда исследователей Cymulate нашла способ использовать функцию Online Video в Microsoft Word для выполнения вредоносного кода. Пока пользователь видит в документе Word встроенное видео с ссылкой на YouTube, там же может быть скрыт код html/javascript, который будет выполняться в фоновом режиме. Этот код может быть использован для осуществления различных атак.

Как уже стало понятно, этот вредоносный метод использует встроенное в документ Word видео, но атакующему также придется отредактировать файл XML с именем document.xml. В этом файле злоумышленник должен просто заменить ссылку на видео специальным пейлоадом.

Этот пейлоад открывает менеджер закачек Internet Explorer. Всю схему атаки можно разложить на семь шагов:

Создаем документ Word.
Вставляем видео — «Вставка => Онлайн-видео» — и добавляем любое видео с YouTube.
Сохраняем документ, содержащий встроенное видео.
Распаковываем документ (например, изменив расширение файла на .zip).
Редактируем файл document.xml в папке word.
В этом файле ищем параметр embeddedHtml, который содержит iframe с YouTube. Заменяем текущее значение iframe любым кодом html-javascript, который обработает Internet Explorer.
Сохраняем изменения в document.xml и открываем документ.

«Обратите внимание, что никаких предупреждений безопасности при открытии данного документа вы не получите», — пишут обнаружившие вектор для атаки эксперты.

Исследователи опубликовали видео, доказывающее концепцию атаки. С ним можно ознакомиться по этой ссылке.

Напомним, в этом месяце в ходе новой вредоносной кампании злоумышленники модифицировали известную цепочку эксплойтов для загрузки кейлоггера Agent Tesla, при этом цель киберпреступников заключалась в избежании обнаружения популярными антивирусными решениями. На данный момент известно, что атакующие использовали две уязвимости в Microsoft Word, известные под идентификаторами CVE-2017-0199 и CVE-2017-11882.

Следующая главная новость »

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!

Екатерина Быстрова 16 Июня 2026 - 21:10

Домашние пользователи Государство Системы контентной веб-фильтрации

Дуров назвал ошибкой недельную блокировку Telegram в Индии

Основатель Telegram Павел Дуров прокомментировал решение властей Индии временно ограничить работу мессенджера из-за скандала с утечкой экзаменационных материалов. По словам Дурова, недельная блокировка Telegram ударила не по организаторам утечек, а по 150 миллионам обычных пользователей платформы в стране.

Поводом для ограничений стала история вокруг медицинского вступительного экзамена NEET.

Власти Индии отменили майское тестирование после того, как экзаменационные вопросы начали распространяться через Telegram. Повторный экзамен назначили на 21 июня, а работу мессенджера решили ограничить до 22 июня.

«Министерство информационных технологий Индии запретило Telegram на одну неделю, потому что некоторые пользователи делились утечкой экзаменационных вопросов. Это наказывает 150 миллионов обычных пользователей Telegram в Индии, а не инсайдеров, которые слили материалы», — заявил Дуров у себя в канале.

В индийском министерстве образования объяснили это борьбой с организованными группами, которые использовали Telegram для мошенничества и распространения утечек.

Однако Дуров утверждает, что блокировка не решила проблему. По его словам, после введения ограничений распространение материалов просто переместилось в другие приложения.

Глава Telegram также рассказал, что команда мессенджера в последние недели активно сотрудничала с индийскими властями и самостоятельно удаляла каналы, связанные с утечками экзаменационных заданий и мошенническими схемами.

Кроме того, Telegram сделал более заметной отметку о редактировании сообщений, чтобы усложнить манипуляции с датами публикаций задним числом.