Identificato un nuovo vettore di attacco contro il word processor di Microsoft, che ora può essere compromesso anche tramite l’integrazione di iframe malevoli. La risposta di Redmond: tutto come previsto dallo standard HTML.
I ricercatori hanno scoperto l’ennesimo problema di sicurezza all’interno di Microsoft Word, una falla che a quanto pare la corporation di Redmond non considera tale ma che nondimeno può portare al download e all’esecuzione di codice malevolo da remoto.
L’origine del nuovo problema, dicono gli analisti di Cymulate, risiede nella funzionalità Online Video di Word che permette l’embedding di un link a un contenuto video remoto all’interno di un documento; alla successiva riapertura, l’utente potrà visionare il suddetto video direttamente dalla pagina di Word senza adoperare a browser o software esterni.
L’integrazione dei video su Word è basata sull’uso della funzionalità Web iframe, hanno spiegato i ricercatori, e prevede che all’apertura del documento Internet Explorer interpreti il codice HTML corrispondente. Un codice che può essere modificato manualmente con aggiunte potenzialmente malevole.
Un documento salvato in .docx – formato “standard” introdotto da Microsoft nelle versioni più moderne di Word – è in realtà un archivio Zip con una diversa estensione, sottolineano gli esperti, quindi basta modificare quell’estensione, identificare il file document.xml nell’archivio e sostituire l’iframe del video di YouTube con un riferimento al download di un eseguibile. Alla prossima apertura del documento, Word (anzi IE) interpreterà le istruzioni e scaricherà il file mandandolo poi esecuzione.
Trattandosi di codice HTML, la falla di Word può essere sfruttata per aggiungere qualsiasi listato JavaScript (anche offuscato) malevolo. E il bello è che, stando a sentire Microsoft, questo exploit a base di embedding video non è un problema di sicurezza ma una “corretta interpretazione” del codice HTML da parte di Word.
Tutto come da design, insomma, con buona pace di chi anticipa una nuova epidemia di documenti Word malevoli dopo il disastroso periodo delle macro infette degli anni passati.