微软 Word “在线视频”功能中存在逻辑 bug，可导致代码执行

编译：360代码卫士团队

Cymuate 安全研究人员警告称，微软 Office 受一个逻辑 bug 的影响，可导致攻击者滥用 Word 中的“在线视频”功能执行恶意代码。

研究人员表示，这个问题影响 Office 2016 及更早版本的所有用户，无需特殊配置即可遭滥用。另外，当滥用该缺陷的恶意文档被打开时，用户不会收到任何安全警告。

Cymulate 公司指出，当用户使用“在线视频”功能将视频内嵌在文档中时就会触发漏洞。该 bug 存在于相关联的 document.xml 文件中。该文件包含指向 YouTube 嵌入式框架代码的名为 embeddedHtml（WebVideoPr 下）的参数中。

研究人员指出，问题在于攻击者能够通过恶意且在后台运行的 HTML/JavaScript 代码替换 YouTube 嵌入式框架代码。Payload 并非连接至真正的 YouTube 视频，而是会用嵌入式代码执行文件打开 IE 下载管理器。

研究人员还创建了 PoC 代码，其中包含嵌入式可执行文件作为 base64 二进制大型对象。一旦执行后，代码使用 msSaveOrOpenBlob 方法通过 IE 下载管理器触发对可执行文件的下载，并可选择运行或保存文件。

Cymulate 公司的联合创始人兼首席技术官 Avihai Ben-Yossef 表示，三个月前，研究人员将该 bug 报告给微软。然而，他透露称微软并不认为它属于安全漏洞。Ben-Yossef 表示，“由于这种特定的躲避技术也可被视作漏洞问题，我们已经在3个月前将其提交给微软，之后我们在平台上实现了它。但他们并不认为这是一种缺陷。”

想要利用这个缺陷的攻击者能够将可执行代码隐藏到 Word 文档中，之后滥用社工诱骗用户打开这些文档，作为钓鱼攻击的一部分。

原文链接

https://www.securityweek.com/logical-bug-microsoft-words-online-video-allows-code-execution

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。