滥用Microsoft Office在线视频执行恶意代码

据cymulate报道，Cymulate的研究团队发现了一种滥用Microsoft Word上的在线视频功能来执行恶意代码的方法（请阅读此处的新闻稿）。

攻击者可以将此用于恶意目的，例如网上诱骗，由于该文档将显示带有YouTube链接的嵌入式在线视频，同时伪装隐藏的html / javascript代码，这些代码将在后台运行，并可能导致进一步的代码执行情况。

此攻击是通过在Word文档中嵌入视频，编辑名为document.xml的XML文件，使用由攻击者创建的精心设计的有效负载替换视频链接来执行的，该攻击者使用嵌入式代码执行文件打开Internet Explorer Download Manager。

如何产生这种安全漏洞的工作流程：

1.创建Word文档。

2.嵌入在线视频：插入 – >在线视频并添加任何YouTube视频。

3. 使用嵌入的在线视频保存Word文档。

4.解压缩Word文档：

Docx文件实际上是您可以在docx文件中看到的所有媒体文件的包。如果解压缩文件 – 通过使用解包器或将docx扩展名更改为zip并解压缩 – 在单个docx文件中有多个文件和目录：

5.编辑word 文件夹下的document.xml 文件

6.在.xml文件中，查找包含Youtube iframe代码的embeddedHtml参数（在WebVideoPr下）。将当前iframe代码替换为要由Internet Explorer呈现的任何html代码/ javascript。

7. 保存document.xml文件中的更改，使用修改后的xml更新docx包并打开文档。

我们创建了一个包含嵌入式可执行文件的PoC（作为base64的blob）。运行后，此代码将使用msSaveOrOpenBlob方法通过打开Internet Explorer Download Manager并选择运行或保存文件来触发可执行文件的下载。

请注意：使用Microsoft Word打开此文档时不会出现安全警告。

00:00

预防：

在Word文档的Document.xml文件中阻止包含标记的Word文档：“embeddedHtml”。

解决方法：

阻止包含嵌入视频的word文档。