Avete capito bene, un documento word con all’interno un video potrebbe essere utilizzato per infettare il vostro PC.
La tecnica consente di eseguire un codice JavaScript quando un utente fa clic su una miniatura di un video YouTube incorporata in un documento Office, il tutto senza che l’utente riceva notifica della sua esecuzione.
“Il team di ricerca di Cymulate ha scoperto un modo per abusare della funzione “Video Online” presente in Microsoft Word per eseguire codice dannoso. Gli attaccanti potrebbero utilizzare questa funzione per scopi dannosi come il phishing, in quanto il documento mostrerà il video online incorporato con un collegamento a YouTube, nascondendo un codice html javascript che verrà eseguito in background e che potrebbe potenzialmente all’esecuzione di codici malevoli” recita l’analisi pubblicata da Cymulate.
“Questo attacco viene eseguito incorporando un video all’interno di un documento Word, modificando il file XML denominato document.xml, sostituendo il collegamento video con un payload creato dall’attaccante che apre Internet Explorer Download Manager con il file di esecuzione del codice incorporato”
Gli esperti hanno creato un proof-of-concept utilizzando un collegamento video YouTube incorporato in un documento Office.
Il principio è semplice quanto efficace, un documento office è assimilabile ad un archivio contenente tutte le risorse per la sua visualizzazione, ivi compresi i link a video online. Scompattando l’archivio ci troveremo dinanzi ad una struttura che si compone delle seguenti cartelle:
Quando un video è incorporato in un documento di Word, viene creato uno script HTML che è eseguito da Internet Explorer quando si fa clic sulla miniatura visibile nel documento.
I ricercatori hanno trovato un modo per modificare lo script HTML in modo che punti al codice malevolo invece del vero video YouTube.
Un file XML predefinito denominato “document.xml” può essere modificato da un utente malintenzionato, in particolare è possibile modificare la configurazione video inclusa in un parametro chiamato “embeddedHtml” e un iFrame per il video di YouTube, che può essere sostituito con il codice HTML fornito dall’ attaccante.
Nello scenario di attacco presentato dai ricercatori è stato incluso nel codice HTML il codice binario del malware con una codifica Base64 che apre il download manager di Internet Explorer, che a sua volta installa un codice dannoso.
Il video previsto verrà visualizzato senza creare sospetti nell’utente, ma allo stesso tempo il malware viene installato silenziosamente sulla macchina della vittima. Gli esperti hanno condiviso un video che mosta l’attacco .
Di seguito i passi da seguire per condurre l’attacco:
- Crea un documento di Word.
- Incorpora un video online: Inserisci -> video online e aggiungi qualsiasi video di YouTube.
- Salva il documento Word con il video online incorporato.
- Scompatta il documento Word: i file Docx sono in realtà pacchetti contenenti i file multimediali che sono includi nei file docx originali. Se decomprimete i file – usando un decompressore o cambiando l’estensione docx per comprimere e decomprimerlo – ci sono diversi file e directory in un unico filedocx :
- Modifica il file document.xml nella cartella word
- All’interno del file .xml, cercare il parametro embeddedHtml (in WebVideoPr ) che contiene il codice iframe di Youtube. Sostituisci il codice iframe corrente con qualsiasi codice html / javascript da far puntare al download manager di Internet Explorer.
- Salva le modifiche nel file document.xml , aggiornare il pacchetto docx con l’ xml modificato e aprire il documento.
Gli esperti hanno dimostrato che per infettare le vittime è necessario indurle ad aprire il documento Office malevolo e fare clic sul video incorporato.
Ben-Yossef, CTO di Cymulate, ha spiegato che il rilevamento da parte degli antimalware dipende dallo specifico codice malevolo usato nell’attacco e dalle tecniche di evasione che implementa. Ciò significa che combinando tale tecnica con un codice zero-day è possibile avere la quasi certezza di compromettere un sistema senza possibilità che l’attacco sia scoperto.
La tecnica funziona con Office 2016 e versioni precedenti, i ricercatori hanno comunicato a Microsoft la scoperta, ma l’azienda non riconosce la tecnica come una falla di sicurezza dei suoi prodotti.
Appreciate it's good publicity for you, but the usual process is that you give the vendor adequate time to fix the issue before you go public with it.
— David Phillips (@davidpphillips) October 25, 2018
Ed allora come è possibile difendersi?
L’unica possibilità di mitigare l’attacco consiste nel bloccare qualsiasi documento Office contenente video incorporati.
