Найден способ скрытных атак через Word-файлы

29 октября 2018 г., понедельник

Эксперты раскрыли уязвимость в функции, позволяющей встраивать онлайн-видео в текстовые документы Microsoft Office.

Эксперты компании Cymulate обнаружили способ встроить зловредный JavaScript-код в файл Microsoft Word. Угроза связана с легитимной функцией, позволяющей добавлять в документы онлайн-видео. Уязвимость можно эксплуатировать без предварительной подготовки и при работающих защитных системах.

Как объяснили специалисты, зараженный файл *.docx фактически представляет собой архив — если поменять расширение на *.zip, документ можно распаковать. После этого преступник сможет менять содержимое, в частности, редактировать параметры, связанные с загрузкой медиа из Интернета.

Для проведения атаки следует создать Word-документ и встроить в него любое онлайн-видео через верхнее меню «Вставить» (Insert). В последних версиях Microsoft Office разработчики предусмотрели специальную опцию для добавления медиа из Интернета.

Сохраненный документ с встроенным видео затем преобразуется в архив и распаковывается. В списке содержимого нужно найти файл Document.xml — именно к нему Microsoft Word обращается за инструкциями по работе с контентом.

Чтобы встроить вредоносный код, злоумышленнику достаточно заменить iframe-элемент с окном видеопроигрывателя под тегом embeddedHtml и сохранить обновленный Document.xml. Теперь при открытии файла MS Word выполнит соответствующий скрипт вместо того, чтобы загрузить изначальное видео.

По словам специалистов, уязвимость актуальна для MS Office 2016 и позже. Они предупреждают, что описанный метод могут взять на вооружение фишеры, которые будут прикладывать опасные документы к электронным письмам. Особую тревогу вызывает тот факт, что при открытии вредоносного файла защитные системы не предупреждают пользователя об опасном содержимом.

Эксперты уже сообщили об ошибке разработчикам Microsoft. Тем не менее, сейчас неизвестно, станут ли создатели Word закрывать уязвимость на программном уровне.

Напомним, ранее корпорация отказалась отключать протокол динамического обмена данными (Dynamic Data Exchange), который можно использовать для доставки вредоносного кода. По словам представителей компании, это легитимная функция продукта, а ответственность за блокировку опасного содержимого лежит на пользователях и системных администраторах.

Чтобы защититься от угрозы, пользователям следует заблокировать на своем компьютере Word-документы с встроенным HTML-содержимым. Отследить небезопасное содержимое можно через поиск тега embeddedHtml в Document.xml внутри файла *.docx.

Ранее ИБ-эксперты обнаружили в продуктах Microsoft Office целый набор опасных брешей, позволяющих выполнять сторонний код и проникать в систему, минуя антивирусные песочницы. Поводом для исследования послужил значительный рост атак с применением офисного ПО — по данным «Лаборатории Касперского», с 2014 по 2017 год доля таких угроз в общем ландшафте выросла с 1% до 27,8%.

Threatpost