Команда исследователей Cymulate нашла способ использовать функцию Online Video в Microsoft Word для выполнения вредоносного кода. Пока пользователь видит в документе Word встроенное видео с ссылкой на YouTube, там же может быть скрыт код html/javascript, который будет выполняться в фоновом режиме. Этот код может быть использован для осуществления различных атак.
Как уже стало понятно, этот вредоносный метод использует встроенное в документ Word видео, но атакующему также придется отредактировать файл XML с именем document.xml. В этом файле злоумышленник должен просто заменить ссылку на видео специальным пейлоадом.
Этот пейлоад открывает менеджер закачек Internet Explorer. Всю схему атаки можно разложить на семь шагов:
- Создаем документ Word.
- Вставляем видео — «Вставка => Онлайн-видео» — и добавляем любое видео с YouTube.
- Сохраняем документ, содержащий встроенное видео.
- Распаковываем документ (например, изменив расширение файла на .zip).
- Редактируем файл document.xml в папке word.
- В этом файле ищем параметр embeddedHtml, который содержит iframe с YouTube. Заменяем текущее значение iframe любым кодом html-javascript, который обработает Internet Explorer.
- Сохраняем изменения в document.xml и открываем документ.
«Обратите внимание, что никаких предупреждений безопасности при открытии данного документа вы не получите», — пишут обнаружившие вектор для атаки эксперты.
Исследователи опубликовали видео, доказывающее концепцию атаки. С ним можно ознакомиться по этой ссылке.
Напомним, в этом месяце в ходе новой вредоносной кампании злоумышленники модифицировали известную цепочку эксплойтов для загрузки кейлоггера Agent Tesla, при этом цель киберпреступников заключалась в избежании обнаружения популярными антивирусными решениями. На данный момент известно, что атакующие использовали две уязвимости в Microsoft Word, известные под идентификаторами CVE-2017-0199 и CVE-2017-11882.
