KW2: CSOC-Event der Woche – MS Word 2016 Online Video Abuse

Durchschnittliche CSOC-Gesamtevents pro Tag:     33.627
Detektionshäufigkeit:     5

Eventbeschreibung: MS Word 2016 Online Video Abuse / Kritikalität = hoch (8 / 10)

In dieser Woche handelt unser Bericht von einem Missbrauch der „Online Video-Funktion“ in Microsoft Word 2016 und älteren Versionen. Mithilfe dieser Verwundbarkeit wird einem potenziellen Angreifer ermöglicht, HTML- oder Javascript-Code auf dem Zielsystem auszuführen.

In vielen Versionen von Microsoft Word, so auch den aktuell meist verwendeten Versionen 2013 und 2016, ist es möglich, ein aktives Video im Textfluss einzubetten. Hierfür wird die „Online Video-Funktion“ genutzt. Das mithilfe eines direkten Links eingefügte Video wird beim Start geladen und innerhalb des Dokuments abgespielt. Da es sich bei Word-Dateien um eine gepackte Datei handelt, welche unter anderem Konfigurationsdateien mit Einstellungen und Formatierungen der Word-Datei beinhaltet, ist es möglich, diese Datei zu entpacken. Durch die Extraktion der darin befindlichen Konfigurationsdatei ist eine direkte Bearbeitung des aufgerufenen iframes möglich, welcher den hinterlegten HTML- oder Javascript-Code zur Ausführung bringt. An dieser Stelle kann der Angreifer Schadcode hinterlegen, der ausgeführt wird, sobald das Video gestartet wird.

Wir empfehlen, Word-Dokumente mit eingebetteten Videos gründlich auf Plausibilität zu überprüfen. Um jedoch die Gefahr eines Missgeschicks auszuschließen, ist die Sperrung von Word-Dateien, welche per E-Mail eingehen, in jedem Fall die bessere Wahl.

Technische Beschreibung:

This attack is carried out by embedding a video inside a Word document, editing the XML file named document.xml, replacing the video link with a crafted payload created by the attacker which opens Internet Explorer Download Manager with the embedded code execution file.