En lugar del código iframe de YouTube el atacante puede colocar un código HTML o JavaScript malicioso
Los investigadores de Cymulate han demostrado que una característica que permite a cualquier persona incrustar un vídeo directamente en un documento de Word puede ser mal utilizada para engañar a los usuarios objetivo para que descarguen y ejecuten malware.
El ataque
Es fácil producir un documento que entregue la carga útil maliciosa.
Un atacante debe crear primero un documento de Word, llenarlo con el contenido que considere apropiado, luego usar Insertar → Vídeo en línea, agregar un vídeo de YouTube al documento y guardar el archivo.
El archivo guardado se debe desempaquetar con un desempaquetador o cambiando la extensión .docx a .zip y descomprimiéndolo. Estas acciones permiten al atacante acceder a un archivo XML llamado document.xml en la carpeta de Word, abrirlo y editarlo.
En lugar del código iframe de YouTube para el vídeo (incluido después del parámetro embeddedHtml), el atacante puede elegir poner un código HTML o JavaScript malicioso, luego guardar los cambios, actualizar el paquete .docx y buscar la forma de enviar el archivo al objetivo y convencerle de que lo abra y haga clic en el vídeo incorporado para verlo.
El clic activará la descarga del ejecutable incorporado al abrir el Administrador de descargas de Internet Explorer. Se le preguntará al objetivo si desea ejecutar o guardar el archivo, pero no se le advertirá sobre los posibles peligros de hacerlo. Y, desafortunadamente, muchos usuarios no piensan dos veces antes de hacer clic en las indicaciones y de aprobar la acción si se despierta su interés.
"Los atacantes podrían usar esto con propósitos maliciosos como el phishing, ya que el documento mostrará el vídeo incrustado en línea con un enlace a YouTube, mientras que disfraza un código HTML/JavaScript oculto que se ejecutará en segundo plano y podría potencialmente conducir a más escenarios de ejecución de código", señaló el director técnico de Cymulate, Avihai Ben-Yossef.
¿Ahora que?
Los investigadores consideran que esto es un error y una falla de seguridad y dicen que tiene el potencial de afectar a todos los usuarios con Office 2016 y versiones anteriores de la suite de productividad.
Microsoft ha sido notificado de ello, pero por ahora no planean hacer nada al respecto ya que el software está "interpretando correctamente el HTML como está diseñado".
Pero si la característica comienza a ser ampliamente abusada, podrían terminar haciendo algo al respecto.
Una situación similar ocurrió el año pasado cuando, después de un aumento considerable de campañas de malware que abusan de la función de intercambio dinámico de datos (DDE) en Word, Microsoft dijo inicialmente que era una característica, no un error, y solo ofreció consejos de mitigación de ataques, pero finalmente terminó deshabilitando DDE de forma predeterminada para contener la marea maliciosa.
Mientras tanto, sin embargo, se recomienda a los usuarios y administradores de empresas que no abran archivos adjuntos de correo electrónico no solicitados de fuentes desconocidas o sospechosas y bloquear documentos de Word que contengan un vídeo incorporado.
