Исследователь безопасности Мандар Сатам (Mandar Satam) предупредил о, по его мнению, новом векторе эксплуатации, позволяющем злоумышленнику манипулировать файлом PowerPoint для загрузки и установки вредоносного ПО путем наведения курсора мыши.

«Атакующий способен обойти ограничение в PowerPoint, запрещающее добавлять удаленный файл в действие «Перейти по гиперссылке». Злоумышленник может манипулировать текстом диалогового окна, содержащим имя файла, и показать жертве что угодно, включая «Windows Update.bat» или «Loading.. Please Wait.exe», — пояснил исследователь.

По словам Сатама, проблема связана с файлами формата PowerPoint Open XML Slide Show, называемого PPSX. Такие файлы позволяют всего лишь ознакомиться с содержанием соответствующей презентации PowerPoint и не могут быть отредактированы. Сатам обошел предыдущие ограничения PowerPoint, введенные Microsoft в 2017 году по предотвращению установок в локальных исполняемых программ путем наведения указателя мыши на гиперссылки в PowerPoint. Вместо действия «Выполнить программу» специалист использовал действие «Перейти по гиперссылке» и указал его на «Другой файл».

Поменяв действие «Выполнить программу» на «Перейти по гиперссылке» атакующий запускает исполняемый файл с удаленного web-сервера с расширениями Web Distributed Server (WebDAV). Данный тип сервера позволяет удаленно редактировать и читать контент.

Поскольку в ходе атаки вызывается только одно диалоговое окно, которым может манипулировать злоумышленник, исследователь расценивает это как уязвимость. Но Microsoft не рассматривает это как проблему, поскольку для атаки требуется элемент социальной инженерии.

Источник: securitylab.ru