Sicherheitsrisiko eingebettete Videos in Word-Dokumenten?

Publiziert am 29. Oktober 2018 von Günter Born

[English]Sicherheitsexperten warnen von Risiken in Word-Dokumenten. Eingebettete Videos können für Angriffe missbraucht werden. Das XML-Format neuer Docx-Dateien kann zum Download zweifelhaftem JavaScript-Code missbraucht werden.

Anzeige

Aktualisierte Microsoft-Word-Dokumente können möglicherweise bösartigen Code über eingebettete Webvideos in Windows einschleusen, so die Befürchtung von Sicherheitsforschern. Das Öffnen einer mit einer solchen Videofalle versehenen Datei und das Klicken auf das Video kann die Ausführung des JavaScript-Codes auslösen. The Register schreibt hier, dass Angreifer diese Schwäche ausnutzen könnten, um die Entdeckung bei der Installation von Malware auf Windows-Systemen auszutricksen.

Da es keinen offiziellen Patch für die angebliche Schwachstelle gibt, besteht ein Workaround darin, Dateien mit eingebetteten Videos zu blockieren oder andere Abwehrmaßnahmen zu ergreifen, um zu verhindern, dass zweifelhafte Dokumente Systeme und Netzwerke beeinträchtigen.

Die mögliche Schwachstelle wurde diese Woche von Sicherheitsanbieter Cymulate gemeldet. Problem ist, wie Microsoft Office 2016 und frühere Versionen in Word eingebaute Videodateien behandeln. Dort soll es keine Sicherheitsmaßnahmen geben, das Videomaterial öffnet eine Tür für die Ausführung von Remote-Code.

"Angreifer könnten dies für böswillige Zwecke wie Phishing verwenden, da das Dokument das eingebettete Online-Video mit einem Link zu YouTube zeigt, während sie einen versteckten HTML/Javascript-Code tarnen, der im Hintergrund ausgeführt wird und möglicherweise zu weiteren Codeausführungsszenarien führen könnte", erklärte Cymulate CTO Avihai Ben-Yossef.

Dieser Angriff ist durchführbar, indem ein Video in ein Word-Dokument eingebettet wird. Dann lässt sich der Inhalt der .docx-Datei entpacken und die XML-Datei document.xml bearbeiten. Der Angreifer ersetzt den Link auf das externe Video durch eine manipulierte Payload. Dazu ändert er den embeddedHTML-Parameter, um den iframe-Code des Videos an ein beliebiges HTML oder JavaScript seiner Wahl weiterzuleiten. Dies ermöglicht, dass der Internet Explorer Download Manager mit der eingebetteten Code-Datei zur Ausführung geöffnet wird.

Aktuell kann ich nicht beurteilen, wie kritisch die Schwachstelle ist und unter welchen Konstellationen das funktioniert. Details finden sich bei Cymulate (wo aber für den Vertrieb der Sicherheitslösungen per Chat geworben wird) sowie bei The Register.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.