El equipo de investigación de Cymulate ha descubierto una vulnerabilidad para ejecutar código malicioso en la función de vídeo en línea de Microsoft Word.
Los atacantes podrían utilizar esto para fines malintencionados, como phishing, el documento mostrará el vídeo en línea incorporado con un enlace a YouTube, mientras que disfrazan un código oculto html/javascript que se ejecutará en segundo plano y que potencialmente podría llevar a más escenarios de ejecución de código.
Este ataque se lleva a cabo por incrustar un vídeo dentro de un documento de Word, editar el archivo XML denominado document.xml, reemplazando el vínculo del vídeo con una carga útil creada por el atacante que abre Internet Explorer Download Manager con el archivo de ejecución de código incrustado.
En el blog de Cymulate, donde fue publicado el hallazgo, se describe detalladamente cómo podría producirse este fallo de seguridad, a continuación, lo mostramos:
1. Crear un documento de Word.
2. Ir a insertar vídeo en línea y añadir cualquier vídeo de YouTube.
3. Guardar el documento con el vídeo en línea incorporado.
4. Descomprimir el documento de Word.
Los archivos Docx son en realidad un paquete de todos los archivos multimedia que puedes ver en un archivo docx. Si desempaqueta el archivo, ya sea utilizando un desempaquetador o cambiando la extensión docx a zip y descomprimiéndolo, hay varios archivos y directorios en un solo archivo docx:
5. Editar el archivo document.xml bajo la carpeta Word.
6. Dentro del archivo XML, busca el parámetro embeddedHtml (en WebVideoPr) que contiene el código iframe de Youtube. Reemplaza el código actual de iframe con cualquier código html / javascript que procese Internet Explorer.
7. Guardar los cambios en el archivo document.xml, actualizar el paquete de docx con el xml modificado y abra el documento.
Hemos creado una prueba que contiene el ejecutable incrustado (como un blob de un base64). Una vez ejecutado, este código utilice el método msSaveOrOpenBlob para activar la descarga del ejecutable abriendo el administrador de descargas de Internet Explorer con la opción de ejecutar o guardar el archivo.
Los investigadores advierten que NO se presenta ninguna advertencia de seguridad al abrir este documento con Microsoft Word.
GMitigación:
Bloquee los documentos de Word que contienen la etiqueta: “embeddedHtml” en el archivo Document.xml de los documentos de Word.
Solución:
Bloque de documentos de Word que contiene un vídeo incrustado.