{"id":211098,"date":"2018-10-29T00:43:10","date_gmt":"2018-10-28T23:43:10","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=211098"},"modified":"2019-06-30T11:20:07","modified_gmt":"2019-06-30T09:20:07","slug":"sicherheitsrisiko-eingebettete-videos-in-word-dokumenten","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/10\/29\/sicherheitsrisiko-eingebettete-videos-in-word-dokumenten\/","title":{"rendered":"Sicherheitsrisiko eingebettete Videos in Word-Dokumenten?"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2018\/10\/31\/risk-embedded-videos-in-word-documents\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Sicherheitsexperten warnen von Risiken in Word-Dokumenten. Eingebettete Videos k\u00f6nnen f\u00fcr Angriffe missbraucht werden. Das XML-Format neuer Docx-Dateien kann zum Download zweifelhaftem JavaScript-Code missbraucht werden.<\/p>\n<p><!--more--><\/p>\n<p>Aktualisierte Microsoft-Word-Dokumente k\u00f6nnen m\u00f6glicherweise b\u00f6sartigen Code \u00fcber eingebettete Webvideos in Windows einschleusen, so die Bef\u00fcrchtung von Sicherheitsforschern. Das \u00d6ffnen einer mit einer solchen Videofalle versehenen Datei und das Klicken auf das Video kann die Ausf\u00fchrung des JavaScript-Codes ausl\u00f6sen. The Register <a href=\"https:\/\/www.theregister.co.uk\/2018\/10\/25\/microsoft_office_word_video_vulnerability\/\" target=\"_blank\" rel=\"noopener noreferrer\">schreibt hier<\/a>, dass Angreifer diese Schw\u00e4che ausnutzen k\u00f6nnten, um die Entdeckung bei der Installation von Malware auf Windows-Systemen auszutricksen.<\/p>\n<p>Da es keinen offiziellen Patch f\u00fcr die angebliche Schwachstelle gibt, besteht ein Workaround darin, Dateien mit eingebetteten Videos zu blockieren oder andere Abwehrma\u00dfnahmen zu ergreifen, um zu verhindern, dass zweifelhafte Dokumente Systeme und Netzwerke beeintr\u00e4chtigen.<\/p>\n<p>Die m\u00f6gliche Schwachstelle wurde diese Woche von Sicherheitsanbieter Cymulate <a href=\"https:\/\/blog.cymulate.com\/abusing-microsoft-office-online-video\" target=\"_blank\" rel=\"noopener noreferrer\">gemeldet<\/a>. Problem ist, wie Microsoft Office 2016 und fr\u00fchere Versionen in Word eingebaute Videodateien behandeln. Dort soll es keine Sicherheitsma\u00dfnahmen geben, das Videomaterial \u00f6ffnet eine T\u00fcr f\u00fcr die Ausf\u00fchrung von Remote-Code.<\/p>\n<p>\"Angreifer k\u00f6nnten dies f\u00fcr b\u00f6swillige Zwecke wie Phishing verwenden, da das Dokument das eingebettete Online-Video mit einem Link zu YouTube zeigt, w\u00e4hrend sie einen versteckten HTML\/Javascript-Code tarnen, der im Hintergrund ausgef\u00fchrt wird und m\u00f6glicherweise zu weiteren Codeausf\u00fchrungsszenarien f\u00fchren k\u00f6nnte\", erkl\u00e4rte Cymulate CTO Avihai Ben-Yossef.<\/p>\n<p>Dieser Angriff ist durchf\u00fchrbar, indem ein Video in ein Word-Dokument eingebettet wird. Dann l\u00e4sst sich der Inhalt der .docx-Datei entpacken und die XML-Datei <em>document.xml <\/em>bearbeiten. Der Angreifer ersetzt den Link auf das externe Video durch eine manipulierte Payload. Dazu \u00e4ndert er den embeddedHTML-Parameter, um den iframe-Code des Videos an ein beliebiges HTML oder JavaScript seiner Wahl weiterzuleiten. Dies erm\u00f6glicht, dass der Internet Explorer Download Manager mit der eingebetteten Code-Datei zur Ausf\u00fchrung ge\u00f6ffnet wird.<\/p>\n<p>Aktuell kann ich nicht beurteilen, wie kritisch die Schwachstelle ist und unter welchen Konstellationen das funktioniert. Details finden sich bei <a href=\"https:\/\/blog.cymulate.com\/abusing-microsoft-office-online-video\" target=\"_blank\" rel=\"noopener noreferrer\">Cymulate<\/a> (wo aber f\u00fcr den Vertrieb der Sicherheitsl\u00f6sungen per Chat geworben wird) sowie bei <a href=\"https:\/\/www.theregister.co.uk\/2018\/10\/25\/microsoft_office_word_video_vulnerability\/\" target=\"_blank\" rel=\"noopener noreferrer\">The Register<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Sicherheitsexperten warnen von Risiken in Word-Dokumenten. Eingebettete Videos k\u00f6nnen f\u00fcr Angriffe missbraucht werden. Das XML-Format neuer Docx-Dateien kann zum Download zweifelhaftem JavaScript-Code missbraucht werden.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328,507],"class_list":["post-211098","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit","tag-word"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/211098","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=211098"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/211098\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=211098"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=211098"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=211098"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}