當心! 插入YouTube影片的Word文件可能讓惡意程式上身

當心! 插入YouTube影片的Word文件可能讓惡意程式上身 駭客可以建立一個插入線上影音的Word文件,例如YouTube,竄改Word文件夾中的document.xml檔案的參考,再誘導被害者開啟文件,就會呼叫IE執行嵌入的檔案,感染勒索軟體或木馬。 文/陳曉莉 | 2018-10-29發表 圖片來源: Cymulate 以色列資安業者Cymulate上周揭露一新的攻擊手法,可以利用微軟Word中的線上影音(Online Video)功能來展開惡意程式攻擊。只是微軟並不認為這是個安全漏洞。根據Cymulate技術長Avihai Ben-Yossef所描述的攻擊場景,駭客在建立一個Word文件之後,可透過插入(Insert)功能嵌入線上影音,如任何的YouTube影片,將其存檔後再展開(Unpack)該文件,找到Word文件夾中的document.xml檔案,在embeddedHtml參數中將YouTube的iframe程式碼置換成任何HTML或Javascript程式並加以儲存。當駭客透過網釣攻擊誘導受害者開啟該文件時,就會呼叫IE來執行所嵌入的檔案,而它也許已被置換成勒索或木馬程式。Ben-Yossef表示,該漏洞可能影響所有Office 2016及舊版Office用戶,要重製此一攻擊行動完全不需要特別的配置,而且使用者在開啟此一Word文件時,也不會接收到任何的安全通知。Cymulate已經在3個月前知會微軟,但Threatpost引述微軟的回應表示,這並不是個安全漏洞,該產品正確地依照既有的設計解讀了HTML,跟其它類似的產品一樣。Ben-Yossef則建議企業封鎖那些內含嵌入影片的Word文件。 iThome Security

更多訊息更多資料都在這裡喔!~PPLS~磷蝦油~SEO~健康食品~南極冰洋磷蝦油~關鍵字排名~保健食品~台灣綠蜂膠~葉黃素~蜂王乳~神經滋養物質~超視王~蜂王漿~網站排名~維力康~智勝王~GOOGLE排名~芙婷寶

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *