Без категории

Уязвимость в Microsoft Word Online

Исследователи обнаружили способ, посредством которого киберпреступники могут проводить фишинговые атаки. В этом методе используется уязвимость в функции Microsoft Word Online Video. С помощью этой уязвимость злоумышленник может заменить код iFrame видео на собственный код для проведения фишинга.

Обнаружена ошибка в функции онлайн-видео в Microsoft Word

Исследователи из симуляционной фирмы Simul обнаружили, что в онлайн-видеоролике Microsoft Word есть уязвимость. Согласно их выводам, злоумышленник может использовать уязвимость для управления кодом iFrame встроенного видео. Фирма раскрыла свои выводы в пресс-релизе в четверг вместе с подробным техническим докладом. Объясняя, как эта ошибка работает, они заявили,

«Эта логическая ошибка обнаруживается, когда пользователь вводит видео через функцию «онлайн-видео». Он находится в файле .xml, где параметр с именем embeddedHtml ссылается на код iframe YouTube. Хакеры могут заменить текущий код iframe YouTube вредоносным html / JavaScript кодом, который будет отображаться в Internet Explorer.»

Также есть видео.

Использование этой ошибки может вызвать фишинг-атаки

Как продемонстрировали исследователи, для злоумышленника очень легко изменить код любого видео YouTube, встроенного в документ Word. Им просто нужно отредактировать файл document.xml и заменить ссылку на видео со злонамеренной нагрузкой. Исследователи опасаются, что злоумышленники могут использовать этот метод для фишинговых атак. Теперь злоумышленники могут обмануть пользователей с помощью видео.

«Атакующие могут использовать это для злонамеренных целей, таких как фишинг, поскольку в документе будет показано встроенное онлайн-видео со ссылкой на YouTube, при этом скрывается скрытый код html / javascript, который будет работать в фоновом режиме и может потенциально привести к дальнейшему выполнению кода сценарии».

С помощью этого трюка целевые пользователи могут не подозревать что-либо злонамеренное, так как открытие документа со встроенным видео не вызывает предупреждения.

Ошибка, предположительно, затрагивает Microsoft Office 2016 и все более ранние версии этой функции.

Proxy White Advertisement

nelus

Программист, SEO специалист, GEEK, увлекаюсь новостями из мира IT и безопасностью программного обеспечения.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Back to top button
Close