Los documentos de Word con vídeos pueden incluir código malicioso

Los documentos de Word con vídeos pueden incluir código malicioso
Vídeo en documento de Microsoft Word
Modificado por última vez en Martes, 30 Octubre 2018 09:53
(0 votos)

En lugar del código iframe de YouTube el atacante puede colocar un código HTML o JavaScript malicioso

Los investigadores de Cymulate han demostrado que una característica que permite a cualquier persona incrustar un vídeo directamente en un documento de Word puede ser mal utilizada para engañar a los usuarios objetivo para que descarguen y ejecuten malware.

El ataque

Es fácil producir un documento que entregue la carga útil maliciosa.

Un atacante debe crear primero un documento de Word, llenarlo con el contenido que considere apropiado, luego usar Insertar → Vídeo en línea, agregar un vídeo de YouTube al documento y guardar el archivo.

El archivo guardado se debe desempaquetar con un desempaquetador o cambiando la extensión .docx a .zip y descomprimiéndolo. Estas acciones permiten al atacante acceder a un archivo XML llamado document.xml en la carpeta de Word, abrirlo y editarlo.

En lugar del código iframe de YouTube para el vídeo (incluido después del parámetro embeddedHtml), el atacante puede elegir poner un código HTML o JavaScript malicioso, luego guardar los cambios, actualizar el paquete .docx y buscar la forma de enviar el archivo al objetivo y convencerle de que lo abra y haga clic en el vídeo incorporado para verlo.

El clic activará la descarga del ejecutable incorporado al abrir el Administrador de descargas de Internet Explorer. Se le preguntará al objetivo si desea ejecutar o guardar el archivo, pero no se le advertirá sobre los posibles peligros de hacerlo. Y, desafortunadamente, muchos usuarios no piensan dos veces antes de hacer clic en las indicaciones y de aprobar la acción si se despierta su interés.

"Los atacantes podrían usar esto con propósitos maliciosos como el phishing, ya que el documento mostrará el vídeo incrustado en línea con un enlace a YouTube, mientras que disfraza un código HTML/JavaScript oculto que se ejecutará en segundo plano y podría potencialmente conducir a más escenarios de ejecución de código", señaló el director técnico de Cymulate, Avihai Ben-Yossef.

¿Ahora que?

Los investigadores consideran que esto es un error y una falla de seguridad y dicen que tiene el potencial de afectar a todos los usuarios con Office 2016 y versiones anteriores de la suite de productividad.

Microsoft ha sido notificado de ello, pero por ahora no planean hacer nada al respecto ya que el software está "interpretando correctamente el HTML como está diseñado".

Pero si la característica comienza a ser ampliamente abusada, podrían terminar haciendo algo al respecto.

Una situación similar ocurrió el año pasado cuando, después de un aumento considerable de campañas de malware que abusan de la función de intercambio dinámico de datos (DDE) en Word, Microsoft dijo inicialmente que era una característica, no un error, y solo ofreció consejos de mitigación de ataques, pero finalmente terminó deshabilitando DDE de forma predeterminada para contener la marea maliciosa.

Mientras tanto, sin embargo, se recomienda a los usuarios y administradores de empresas que no abran archivos adjuntos de correo electrónico no solicitados de fuentes desconocidas o sospechosas y bloquear documentos de Word que contengan un vídeo incorporado.


Comentarios (0)

No hay comentarios escritos aquí

Deja tus comentarios

  1. Publicar comentario como invitado. Regístrate o ingresaa tu cuenta
Archivos adjuntos (0 / 3)
Compartir su ubicación
close

Recibe gratis nuestros nuevos artículos!

Serás el primero en conocer las novedades y noticias que pasan en Internet, nuestros tutoriales, trucos y más.

Escribe tu email:

Se abrirá una nueva ventana deFeedBurner a la izquierda de la página y habrás de validar un Captcha.

Lee nuestras Política de privacidad & Política de cookies
Puedes darte de baja de la lista de correo electrónico en cualquier momento