O time de pesquisa da Cymulate descobriu uma forma de abusar do recurso de "inserir vídeo" do Microsoft Word utilizando recursos que a própria ferramenta disponibiliza.
Os pesquisadores tiraram proveito de um dos arquivos que o Word gera após salvar um vídeo dentro do seu documento. Este arquivo se chama "document.xml" e nele podemos injetar um código em JavaScript, por exemplo, e redirecionar o link de dentro do documento para outro local através da tag “embeddedHtml”.
A PoC (prova de conceito) da técnica foi descrita no blog do time. Além de explicarem os passos e disponibilizarem um vídeo os pesquisadores também colocaram como se proteger contra isto, vale dar uma conferida!! ?
A notícia foi apresentada com a visão de um ataque, uma exploração, mas e se houvesse um meio de olhar para isso pensando no lado da defesa? Será que há como? Conta pra gente o que acha ?
Recommended Comments
There are no comments to display.
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.