Уязвимость в PowerPoint подвергает пользователей риску атак

Чт 9 Апрель 2020 12:37

Исследователь безопасности Мандар Сатам (Mandar Satam) предупредил о, по его мнению, новом векторе эксплуатации, позволяющем злоумышленнику манипулировать файлом PowerPoint для загрузки и установки вредоносного ПО путем наведения курсора мыши.

«Атакующий способен обойти ограничение в PowerPoint, запрещающее добавлять удаленный файл в действие «Перейти по гиперссылке». Злоумышленник может манипулировать текстом диалогового окна, содержащим имя файла, и показать жертве что угодно, включая «Windows Update.bat» или «Loading.. Please Wait.exe», — пояснил исследователь.

По словам Сатама, проблема связана с файлами формата PowerPoint Open XML Slide Show, называемого PPSX. Такие файлы позволяют всего лишь ознакомиться с содержанием соответствующей презентации PowerPoint и не могут быть отредактированы. Сатам обошел предыдущие ограничения PowerPoint, введенные Microsoft в 2017 году по предотвращению установок в локальных исполняемых программ путем наведения указателя мыши на гиперссылки в PowerPoint. Вместо действия «Выполнить программу» специалист использовал действие «Перейти по гиперссылке» и указал его на «Другой файл».

Поменяв действие «Выполнить программу» на «Перейти по гиперссылке» атакующий запускает исполняемый файл с удаленного web-сервера с расширениями Web Distributed Server (WebDAV). Данный тип сервера позволяет удаленно редактировать и читать контент.

Поскольку в ходе атаки вызывается только одно диалоговое окно, которым может манипулировать злоумышленник, исследователь расценивает это как уязвимость. Но Microsoft не рассматривает это как проблему, поскольку для атаки требуется элемент социальной инженерии.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 14 лет 212 дней 11 часов 14 минут 35 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.