Sårbarhet ved kodeutførelse gjennom innebygde videoer på MS Word
Sikkerhetseksperter har oppdaget en ny feil i Microsoft Word som lar hackere injisere en ondsinnet kode i et orddokument. Feilen ble oppdaget av forskere ved Cymulate og det påvirker eldre versjoner av Microsoft Word inkludert Word 2016.
Feilen utnytter alternativet Online Video i Word-dokumenter som lar brukerne legge inn online videoer i Word. Dessverre nektet Microsoft å erkjenne feilen som en sårbarhet, og derfor bestemte forskerne seg for å bli offentlig med sine funn. Sårbarheten kan utnyttes ved først å legge til en online video i Word-dokumentet og deretter pakke ut dokumentet og erstatte den innebygde koden med en skadelig programvare.
Cymulate forskere testet til og med utnyttelsen internt, og de var i stand til å legge inn en video på et orddokument, som deretter ville kjøre skadelig kode når de ble klikket på.
Siden Microsoft har nektet å erkjenne dette som et sårbarhet, forventer vi ikke at selskapet vil lansere en oppdatering for å lappe feilen. Dette etterlater mange brukere utsatt for angrepet, og den beste løsningen på dette problemet er å blokkere Word-dokumenter med innebygde videoer. Selv om dette er en god løsning, sier det seg selv at man ikke skal åpne filer fra ukjente avsendere, spesielt de som er lastet ned fra fildelingstjenester som ikke kjører riktig virussøk.
Merker Microsoft
