圖片來源: 

Cymulate

以色列資安業者Cymulate上周揭露一新的攻擊手法,可以利用微軟Word中的線上影音(Online Video)功能來展開惡意程式攻擊。只是微軟並不認為這是個安全漏洞。

根據Cymulate技術長Avihai Ben-Yossef所描述的攻擊場景,駭客在建立一個Word文件之後,可透過插入(Insert)功能嵌入線上影音,如任何的YouTube影片,將其存檔後再展開(Unpack)該文件,找到Word文件夾中的document.xml檔案,在embeddedHtml參數中將YouTube的iframe程式碼置換成任何HTML或Javascript程式並加以儲存。

當駭客透過網釣攻擊誘導受害者開啟該文件時,就會呼叫IE來執行所嵌入的檔案,而它也許已被置換成勒索或木馬程式。

Ben-Yossef表示,該漏洞可能影響所有Office 2016及舊版Office用戶,要重製此一攻擊行動完全不需要特別的配置,而且使用者在開啟此一Word文件時,也不會接收到任何的安全通知。

Cymulate已經在3個月前知會微軟,但Threatpost引述微軟的回應表示,這並不是個安全漏洞,該產品正確地依照既有的設計解讀了HTML,跟其它類似的產品一樣。Ben-Yossef則建議企業封鎖那些內含嵌入影片的Word文件。


Advertisement

更多 iThome相關內容