据研究人员称，视频嵌入微软Word文档的方式已经发现了一种隐秘的恶意软件传递策略。 当用户点击Word文档中的武器化YouTube视频缩略图时，它允许JavaScript代码执行,然而Microsoft Office不会显示警告消息。

PoC执行恶意视频代码 office不会发出警告

Cymulate的研究人员利用YouTube视频链接和Word文档构建了一个POC（尽管可以将其他类型的视频嵌入到Word中，研究人员没有测试其他视频形式和使用其他Office应用程序）。

Word的视频嵌入功能在视频图像后面创建一个HTML脚本，当点击文档中的缩略图时，该脚本由Internet Explorer执行。

编辑HTML代码替换word配置文件

根据 Cymulate 分析 ，该团队发现可以编辑HTML代码来替换word配置文件，以指向恶意软件，而不是真正的YouTube视频。

“一个名为’document.xml’的文件是Word使用的默认XML文件，你可以提取和编辑， 嵌入的视频配置将在那里提供，其中包含一个名为’embeddedHtml’的参数和一个用于YouTube视频的iFrame，可以用您自己的HTML替换。”

在PoC中，替换HTML包含Base64编码的恶意软件二进制文件，用于打开安装恶意软件的Internet Explorer的下载管理器。 该视频对用户来说似乎是合法的，但恶意软件将在后台静默解压缩。

“成功利用可以允许任何代码执行 – 勒索软件，木马，并且可以逃避防病毒检测。

文档可通过网络钓鱼传播

攻击需要对手说服某人打开文档，然后点击嵌入的视频; 网络钓鱼是最好的攻击手段。 默认情况下，Word在执行嵌入式视频代码之前不会询问权限，因此当目标点击视频缩略图时，Microsoft Office不会提供安全警告或对话框。

“它确实需要网络钓鱼技能才能让某人点击[视频]视频， 文档中的视频图像不会显示任何不合法的YouTube视频。”

该研究人员表示，该方法有可能影响所有使用Office 2016和旧版生产力套件的用户。 他补充说，他通知微软，但该公司不承认该技术是一个漏洞。

微软高级主管说：“该产品正在按照设计正确地解释HTML – 与同类产品的工作方式相同。”

企业及时更新病毒库

企业可以根据更新最新的病毒库来检测包含视频的word文档

原文链接：https://threatpost.com/poc-attack-leverages-microsoft-office-and-youtube-to-deliver-malware/138585/