Pesquisadores de segurança cibernética revelaram uma falha lógica não corrigida no Microsoft Office 2016 e versões mais antigas que podem permitir que um invasor incorpore código malicioso em um arquivo de documento, enganando os usuários para que executem malware em seus computadores.
Descoberto por pesquisadores da Cymulate, o bug abusa da opção ' Online Video ' em documentos do Word, um recurso que permite aos usuários incorporar um vídeo on-line com um link para o YouTube, como mostrado.
Quando um usuário adiciona um link de vídeo on-line a um documento do MS Word, o recurso Online Video gera automaticamente um script de incorporação de HTML, que é executado quando a miniatura dentro do documento é clicada pelo visualizador. Pesquisadores decidiram ir a público com suas descobertas
três meses após a Microsoft se recusar a reconhecer o problema relatado como uma vulnerabilidade de segurança.
Como os arquivos do Word Doc (.docx) são, na verdade, pacotes zip de seus arquivos de mídia e configuração, eles podem ser facilmente abertos e editados.
Segundo os pesquisadores, o arquivo de configuração chamado 'document.xml', que é um arquivo XML padrão usado pelo Word e contém o código de vídeo incorporado gerado, pode ser editado para substituir o código atual do iFrame por qualquer código HTML ou javascript seria executado em segundo plano.
Em palavras simples, um invasor pode explorar o bug substituindo o vídeo real do YouTube por um malicioso que seria executado pelo Gerenciador de Downloads do Internet Explorer.
Para provar a extensão da vulnerabilidade, os pesquisadores da Cymulate criaram um ataque de prova de conceito , demonstrando como um documento criado com intuito malicioso com um vídeo incorporado, que, se clicado, solicitaria que o usuário executasse um executável incorporado (como um blob de uma base64) –Não baixar nada da Internet ou exibir qualquer aviso de segurança quando a vítima clicar na miniatura do vídeo.
O hack requer que um invasor convença as vítimas a abrir um documento e, em seguida, clicar em um link de vídeo incorporado.
Os pesquisadores da Cymulate reportaram responsavelmente este bug, que afeta todos os usuários com o MS Office 2016 e versões mais antigas do pacote de produtividade, três meses atrás, para a Microsoft, mas a empresa se recusou a reconhecê-lo como uma vulnerabilidade de segurança.
Aparentemente, a Microsoft não tem planos de corrigir o problema e diz que seu software está "interpretando corretamente o HTML como projetado".
Enquanto isso, os pesquisadores recomendaram que os administradores corporativos bloqueiem documentos do Word que contenham a tag de vídeo incorporada: "embeddedHtml" no arquivo Document.xml, e os usuários finais são aconselhados a não abrir anexos de email não solicitados de fontes desconhecidas ou suspeitas.
Descoberto por pesquisadores da Cymulate, o bug abusa da opção ' Online Video ' em documentos do Word, um recurso que permite aos usuários incorporar um vídeo on-line com um link para o YouTube, como mostrado.
Quando um usuário adiciona um link de vídeo on-line a um documento do MS Word, o recurso Online Video gera automaticamente um script de incorporação de HTML, que é executado quando a miniatura dentro do documento é clicada pelo visualizador. Pesquisadores decidiram ir a público com suas descobertas
três meses após a Microsoft se recusar a reconhecer o problema relatado como uma vulnerabilidade de segurança.
Como funciona o novo ataque do MS Word?
Como os arquivos do Word Doc (.docx) são, na verdade, pacotes zip de seus arquivos de mídia e configuração, eles podem ser facilmente abertos e editados.
Em palavras simples, um invasor pode explorar o bug substituindo o vídeo real do YouTube por um malicioso que seria executado pelo Gerenciador de Downloads do Internet Explorer.
"Dentro do arquivo .xml, procure o parâmetro embeddedHtml (em WebVideoPr) que contém o código do iframe do YouTube", disseram os pesquisadores. "Salve as alterações no arquivo document.xml, atualize o pacote docx com o XML modificado e abra o documento. Nenhum aviso de segurança é apresentado ao abrir este documento com o Microsoft Word."
Demonstração de vídeo: falha de vídeo on-line do MS Word
Para provar a extensão da vulnerabilidade, os pesquisadores da Cymulate criaram um ataque de prova de conceito , demonstrando como um documento criado com intuito malicioso com um vídeo incorporado, que, se clicado, solicitaria que o usuário executasse um executável incorporado (como um blob de uma base64) –Não baixar nada da Internet ou exibir qualquer aviso de segurança quando a vítima clicar na miniatura do vídeo.
Os pesquisadores da Cymulate reportaram responsavelmente este bug, que afeta todos os usuários com o MS Office 2016 e versões mais antigas do pacote de produtividade, três meses atrás, para a Microsoft, mas a empresa se recusou a reconhecê-lo como uma vulnerabilidade de segurança.
Aparentemente, a Microsoft não tem planos de corrigir o problema e diz que seu software está "interpretando corretamente o HTML como projetado".
Enquanto isso, os pesquisadores recomendaram que os administradores corporativos bloqueiem documentos do Word que contenham a tag de vídeo incorporada: "embeddedHtml" no arquivo Document.xml, e os usuários finais são aconselhados a não abrir anexos de email não solicitados de fontes desconhecidas ou suspeitas.
FONTE:THEHACKERNEWS
Comentários
Postar um comentário