Cymulate的研究人员发现了一种滥用Microsoft Word Online Video功能来执行恶意代码的方法。 本文《滥用word联机视频特征执行恶意代码POC》原文翻译为ang010elahttps://www.com/archives/78507.html 由于嵌入式在线视频可以在文档中显示,同时假装隐藏在后台运行的HTML/JS代码,这导致了代码执行的场景。 攻击是通过将视频嵌入word文档,编辑名为document.xml的XML文件,并将视频链接替换为攻击者创建的有效负载来完成的。 Payload可以使用嵌入式代码执行文件打开IE Download Manager。 POC 1.创建一个word文档。 2.嵌入在线视频:插入 - >在线视频,插入视频地址(YouTube)。
3. 保存嵌入在线视频的word文档。 4.解压缩word文档:
Docx文件实际上是一个包含docx文件中所有媒体文件的包。如果您使用解压缩工具或修改docx扩展名以压缩并解压缩,您可以在docx文件中看到许多文件和目录: 5.编辑word文件夹中的document.xml 文件 6.在.xml文件中,使用Youtube iframe代码查找embeddedHtml参数。用任何html或JS代码替换当前的iframe代码。
7. 保存修改后的document.xml文件,使用修改后的xml文件更新docx包,然后打开该单词。
这成功创建了具有嵌入式可执行文件的POC。运行后,代码将使用 msSaveOrOpenBlob 方法打开IE下载管理器,并选择运行或保存文件以触发可执行文件的下载。
POC视频地址:
https://blog.cymulate.com/abusing-microsoft-office-online-video
整个过程中没有安全警报。 本文《滥用word联机视频特征执行恶意代码POC》作者ang010ela原文翻译https://www.com/archives/78507.html
缓解措施
截取Document.xml中包含embeddedHtml标记的word文档,或截取包含嵌入视频的word文档。
https://blog.cymulate.com/abusing-microsoft-office-online-video