Уязвимость в PowerPoint подвергает пользователей риску атак
Исследователь безопасности Мандар Сатам (Mandar Satam) предупредил о, по его мнению, новом векторе эксплуатации, позволяющем злоумышленнику манипулировать файлом PowerPoint для загрузки и установки вредоносного ПО путем наведения курсора мыши.
"Атакующий способен обойти ограничение в PowerPoint, запрещающее добавлять удаленный файл в действие "Перейти по гиперссылке". Злоумышленник может манипулировать текстом диалогового окна, содержащим имя файла, и показать жертве что угодно, включая "Windows Update.bat" или "Loading.. Please Wait.exe", - пояснил исследователь.
По словам Сатама, проблема связана с файлами формата PowerPoint Open XML Slide Show, называемого PPSX. Такие файлы позволяют всего лишь ознакомиться с содержанием соответствующей презентации PowerPoint и не могут быть отредактированы. Сатам обошел предыдущие ограничения PowerPoint, введенные Microsoft в 2017 году по предотвращению установок в локальных исполняемых программ путем наведения указателя мыши на гиперссылки в PowerPoint. Вместо действия "Выполнить программу" специалист использовал действие "Перейти по гиперссылке" и указал его на "Другой файл".
Поменяв действие "Выполнить программу" на "Перейти по гиперссылке" атакующий запускает исполняемый файл с удаленного web-сервера с расширениями Web Distributed Server (WebDAV). Данный тип сервера позволяет удаленно редактировать и читать контент.
Поскольку в ходе атаки вызывается только одно диалоговое окно, которым может манипулировать злоумышленник, исследователь расценивает это как уязвимость. Но Microsoft не рассматривает это как проблему, поскольку для атаки требуется элемент социальной инженерии.
