Lỗ hổng video online trong Microsoft Word 16 tấn công người dùng

Một lỗ hổng video online cho phép tin tặc nhúng mã độc vào tập văn bản trên Microsoft Word 16 đã được các nhà nghiên cứu an ninh mạng tại Cymulate phát hiện.

0

Các chuyên gia an ninh cho biết, lỗ hổng này lợi dụng tính năng “Online Video” cho phép nguòi dùng nhúng video online với đường dẫn từ Youtube trong các văn bản Word. Khi người dùng nhúng đường link video vào tập văn bản Microsoft Word, tính năng “Online Video” sẽ tự động tạo đoạn mã nhúng HTML, đoạn mã này sẽ được thực thi khi người xem nhấp vào hình đại diện của video đó trong văn bản. Lỗ hổng này được các nhà nghiên cứu quyết định công bố ba tháng sau khi Microsoft phủ nhận lỗ hổng bảo mật này.

Thông qua lỗ hổng video online trên Microsoft Word 16, tin tặc có thể thay thế video Youtube cần chèn bằng một video độc hại khác. Bản chất của các file văn bản (.docx) là file tổng hợp đa phương tiện và thiết lập nên dễ dàng bị mở và sửa đổi. File thiết lập nên “document.xml” là một file XML mặc định chứa các mã video nhúng, có thể được chỉnh sửa để thay thế iFrame với bất kỳ mã HTL hay Javascript nào chạy nền.

Microsoft-word-16

Các nhà nghiên cứu chỉ ra chi tiết rằng: “Trong tập .xml, tìm thông số embeddedHtml chứa mã iframe Youtube. Lưu chi tiết thay đổi trong tập văn bản .xml, cập nhật gói docx với tập XML đã thay đổi và mở văn bản. Hoàn toàn không có cảnh báo bảo mật nào khi mở văn bản này.”

Để có thể thực hiện tấn công, trước hết tin tặc cần phải thuyết phục người dùng mở file văn bản và click vào một đường dẫn video được nhúng.

Hiện tại, Microsoft chưa có kế hoạch vá lỗ hổng video online trên Microsoft Word 16 này. Các nhà an ninh mạng khuyến cáo các quản trị viên cần chặn các tập văn bản có chưa tag “embeddedHtml” trong tập docmuent.xml và người dùng cũng không nên mở tập đính kèm email từ những nguồn không đáng tin.

Nguồn: DailySecurity.net

Bài viết liên quan Bài viết cùng tác giả