I ricercatori della compagnia di sicurezza informatica Cymulate hanno dimostrato come modificare parti di un file Microsoft Word Office OOXML per veicolare un attacco non rilevabile dall’utente tramite l’utilizzo della funzione di incorporazione di un video in un file DOCX.
Non è la prima volta certo che Microsoft Office viene additato come possibile “vettore” di infezioni destinate ad infettare o comunque compromettere il sistema bersaglio dell’utente che riceve un file “malizioso” che contenga un contenuto malevolo a sua insaputa.
In questo caso il veicolo d’attacco è un comune file .docx (Microsoft Office XML file, il formato standard adottato da Office 2007 in avanti) che, modificando uno dei file che compongono tale pacchetto – infatti tali file sono in realtà uno “zip” di più parti tra cui un file XML che archivia le impostazioni di visualizzazione dei dati contenuti – permette l’esecuzione arbitraria di codice compromettendo potenzialmente il sistema bersaglio che si trova ad aprire tale file.
Il file Word deve prevedere la presenza di un file video “incorporato” da YouTube e la successiva modifica del parametro “embeddedHtml” presente nel file .xml all’interno del pacchetto dati compressi che forma il file .docx. Questo parametro infatti può essere alterato dal normale iframe, che include di default i riferimenti alla pagina YouTube incorporata, con l’inclusione invece di codice html o javascript che viene puoi automaticamente interpretato, senza ulteriori conferme o avvisi mostrati sul sistema che apre il file, da parte del motore di Internet Explorer.
Fatto questo, per l’attaccante resta solo convincere la vittima designata ad aprire – magari tramite ingegneria sociale – il file modificato.
Al momento Microsoft non riconosce questo tipo di attacco come una una vera e propria vulnerabilità che – per inciso – è valida per ogni Office che supporti il formato OOXML – quindi dal 2007 al 2016 incluso.
Per mitigare il pericolo specie in ambito business resta solo di bloccare l’apertura – a livello di policy di configurazione di Office – di ogni file di questo tipo che contenga un video incorporato.
Fonte: SecurityAffairs