未修补的MS Word漏洞可能会让黑客感染您的计算机

网络安全研究人员发现，Microsoft Office 2016及更旧版本中存在一个未修补的逻辑缺陷，攻击者可以在文档文件中嵌入恶意代码，诱使用户在其计算机上运行恶意软件。

Cymate的研究人员发现，这种虫子滥用了在线视频“Word文档中的选项，该功能允许用户嵌入带有YouTube链接的在线视频，如图所示。

当用户向MS Word文档中添加在线视频链接时，在线视频功能会自动生成一个HTML嵌入脚本，当查看者单击文档中的缩略图时，会执行该脚本。
在微软拒绝承认报告的问题是安全漏洞三个月后，研究人员决定公开他们的发现。

新的MS Word攻击是如何工作的？

由于Word文档文件（.docx）实际上是其媒体和配置文件的压缩包，因此可以轻松打开和编辑。

研究人员称，配置文件名为“文档”。“xml”是Word使用的默认xml文件，包含生成的嵌入式视频代码，可以通过编辑将当前的视频iFrame代码替换为在后台运行的任何HTML或javascript代码。

简单地说，攻击者可以通过用Internet Explorer下载管理器执行的恶意视频替换实际的YouTube视频来攻击该漏洞。

研究人员说：“在.xml文件中，查找包含Youtube iframe代码的embeddedHtml参数（在WebVideoPr下）。”。保存document.xml文件中的更改，用修改后的xml更新docx包，然后打开文档。使用Microsoft Word打开此文档时，不会显示任何安全警告

视频演示：MS Word在线视频缺陷

为了证明该漏洞的严重性，Cymate研究人员创建了一个概念验证攻击，演示了一个恶意制作的带有嵌入视频的文档，如果点击该文档，将提示用户运行嵌入的可执行文件（作为base64的一个blob）–；当受害者点击视频缩略图时，不会从互联网下载任何内容或显示任何安全警告。

 

黑客需要攻击者说服受害者打开一份文件，然后点击嵌入的视频链接。

Cymate的研究人员在三个月前负责地向微软报告了这一漏洞，该漏洞影响了所有使用MS Office 2016及更早版本的productivity suite的用户，但该公司拒绝承认这是一个安全漏洞。

显然，微软没有计划解决这个问题，并表示其软件“按照设计正确地解释HTML”。

同时，研究人员建议企业管理员屏蔽包含嵌入视频标签的Word文档：“embeddedHtml”。建议最终用户不要打开来自未知或可疑来源的未经邀请的电子邮件附件。