10/04/20
Исследователь безопасности Мандар Сатам (Mandar Satam) предупредил о, по его мнению, новом векторе эксплуатации, позволяющем злоумышленнику манипулировать файлом PowerPoint для загрузки и установки вредоносного ПО путем наведения курсора мыши.
«Атакующий способен обойти ограничение в PowerPoint, запрещающее добавлять удаленный файл в действие «Перейти по гиперссылке». Злоумышленник может манипулировать текстом диалогового окна, содержащим имя файла, и показать жертве что угодно, включая «Windows Update.bat» или «Loading.. Please Wait.exe», — пояснил исследователь.
По словам Сатама, проблема связана с файлами формата PowerPoint Open XML Slide Show, называемого PPSX. Такие файлы позволяют всего лишь ознакомиться с содержанием соответствующей презентации PowerPoint и не могут быть отредактированы. Сатам обошел предыдущие ограничения PowerPoint, введенные Microsoft в 2017 году по предотвращению установок в локальных исполняемых программ путем наведения указателя мыши на гиперссылки в PowerPoint. Вместо действия «Выполнить программу» специалист использовал действие «Перейти по гиперссылке» и указал его на «Другой файл».
Поменяв действие «Выполнить программу» на «Перейти по гиперссылке» атакующий запускает исполняемый файл с удаленного web-сервера с расширениями Web Distributed Server (WebDAV). Данный тип сервера позволяет удаленно редактировать и читать контент.
Поскольку в ходе атаки вызывается только одно диалоговое окно, которым может манипулировать злоумышленник, исследователь расценивает это как уязвимость. Но Microsoft не рассматривает это как проблему, поскольку для атаки требуется элемент социальной инженерии.
