有研究人员称，在对微软Word文档嵌入视频时发现了一种较为隐秘的恶意软件传递策略，当用户点击Word文档中的一个伪装的YouTube视频缩略图时，将会导致JavaScript代码被执行，而Microsoft Office并不会显示请求用户同意的警报消息。

Cymulate的研究人员使用YouTube视频链接和Word文档构建了一个概念验证攻击(尽管可以在Word中嵌入其他类型的视频，但研究人员没有测试这些因素，也没有在其他Office应用程序中尝试)。

Word的视频嵌入功能会在视频图像后面创建一个HTML脚本，当用户点击文档中的缩略图时，Internet Explorer就会执行这个脚本并跳转到相应界面。

Cymulate于上周四发布的一份分析报告中表示，攻击者可以通过编辑HTML代码来指向恶意软件，而不是真正的YouTube视频。

Cymulate首席技术官Avihai Ben-Yossef解释说，

名为'document.xml'的文件是Word使用的默认XML文件，你可以对其提取和编辑，嵌入式视频配置中包含一个名为'embeddedHtml'的参数和一个用于YouTube视频的iFrame，可以用你自己的HTML进行替换。

在PoC中，替换后的HTML包含一个base64编码的恶意软件二进制文件，它会打开Internet Explorer的下载管理器，安装恶意软件。这个视频对用户看似是合法的，但是恶意软件已经悄无声息地潜入在了你的电脑之中。

Ben-Yossef表示，

通过对此项漏洞的有效利用，几乎可以让任何代码执行，比如勒索软件和木马病毒。而防病毒检测的机制取决于特定负载的其他逃避功能，很明显，这种攻击将会在0 day负载的情况下效果最好。攻击者需要先让对方执行打开文档的操作，接着点击嵌入的视频，由此来看，网络钓鱼是最好的攻击媒介。而在默认情况下，Word在执行嵌入视频代码之前不需要请求权限，所以微软Office在对方单击视频缩略图后并不会提示安全警告或对话框。

Ben-Yossef补充道，

要让人们点击视频，确实需要网络钓鱼技巧。但我们也需要提防的一点是，文件中的视频图像不会显露任何属于YouTube不合法视频的痕迹。

该研究人员表示，这种方法有可能对使用Office 2016和更早Office版本的用户产生影响。他表示自己已经向微软通报过了情况，但微软并不承认这是种技术漏洞。

研究人员补充道，

三个月前我们就将这个缺陷报告给了微软，我们已经验证过了通过此漏洞入侵用户电脑是完全可行的。微软并不承认这是他们技术上的漏洞，但微软允许我们公司发布我们的调查结果。

微软高级总监Jeff Jones在接受Threatpost采访时表示，

如果从微软的角度出发，视频嵌入功能的HTML执行是没有缺陷的。不光是微软的word产品，其他相似的产品的在此方面的设计机制跟我们也是一样的。

Ben-Yossef最后补充道，

幸运的是，计算机仍能够通过其安全控制系统来阻止此类攻击。通过阻止包含嵌入视频的Word文档，以及确保杀毒软件的更新程度，可以有效防止此类攻击的发生。