Исследователи Cymulate обнаружили проблему в Microsoft Office 2016 и выше, из-за которой злоумышленник может злоупотребить опцией Online Video, которая позволяет встроить видеоролик в документ.
Специалисты объясняют, что конфигурационный файл document.xml, который Word использует для работы со встроенными видео, может содержать параметры embeddedHtml и iframe-код для видео с YouTube. Специалисты предупреждают, что пользователь не увидит каких-либо особенных предупреждений при открытии такого документа с видеороликом, и это весьма скверно. Дело в том, что атакующий может подменить iframe-код вредоносным HTML/JavaScript, который сработает в фоновом режиме. В итоге вместо ролика с YouTube будет открыт Internet Explorer Download Manager и произойдет выполнение кода.
Эксперты Cymulate создали proof-of-concept атаки и встроили в документ исполняемый блоб base64. При срабатывании эксплоит использует метод msSaveOrOpenBlob, запускает загрузку через Internet Explorer Download Manager, а затем может запустить или сохранить полученный файл.
Информация о проблеме была передана специалистам Microsoft еще несколько месяцев назад, разработчики не считают данную находку уязвимостью и ответили, что все работает как должно.