Cymulateは10月25日(米国時間)、「Abusing Microsoft Office Online Video」において、Microsoft Wordのオンラインビデオの埋め込み機能を悪用することで、任意コードのダウンロードと実行が可能なことを発見したと伝えた。
この方法においては、Microsoft Wordがユーザーに対してダウンロードの許可を求めることはなく、ユーザーに気がつかれることなくバックグラウンドで処理を進めることができるという。
-
Embed an online video: Insert -> online video and add any YouTube video. - 資料: Cymulate
Microsoft WordにはYouTubeなどのオンラインビデオを埋め込む機能が存在している。この機能を悪用することで、Wordドキュメントにバックグラウンドで動作するJavaScriptを仕込むことができるとのことだ。
記事では、具体的に細工したWordドキュメントを作成する方法が解説されており、ドキュメントにオンラインビデオを挿入したのち、ファイルを一度保存してから展開し、対象のコードをペイロードを実施するコードに差し替える方法が示されている。
このテクニックを使った攻撃を緩和するには、まずDocument.xmlファイルにembeddedHtmlタグを含んだWordドキュメントをブロックすること、組み込みビデオを含んだWordドキュメントをブロックすることなどが紹介されている。
