اكتشف باحثون من شركة Cymulate لمحاكاة الهجوم على الإنترنت طريقة جديدة يمكن من خلال استغلالها أن يقوم المهاجم Attacker بعملية التصيد الاحتيالي Phishing و يستخدم الأسلوب الجديد استغلال ثغرة امنية في ميزة Microsoft Word Online Video حيث من خلال هذا الخطأ يمكن للمهاجم استبدال شفرة iFrame للفيديو المضمّن Embedded Video بشفرة ضارة Malicious code لإجراء هجوم التصيد الاحتيالي.
كما أظهر الباحثون انه من السهل جدًا على أحد المهاجمين تعديل شفرة أي فيديو يوتيوب YouTube مضمّن في مستند وورد Word. كل ما عليهم عمله هو تحرير ملف “document.xml” واستبدال رابط الفيديو بحمولة ضارة (اي برنامج ضار).Malicious Payload
ويخشى الباحثون من أن المهاجمين قد يستغلون هذه التقنية في هجمات التصيد الاحتيالي وقد يخدعهم المهاجمون لفتح ملفات Word ضارة مع فيديوات يوتيوب مضمّنة. من خلال هذه الخدعة ، قد لا يشك المستخدمون المستهدفون بأي شيء ضار لأن فتح المستند مع الفيديو المضمن لا يؤدي إلى اصدار او توليد اي تحذير.
هذه الثغرة تشمل اصدار Microsoft Office 2016 وجميع الإصدارات السابقة التي تمتلك ميزة الفيديو المضمّن . في الوقت الحالي ، الطريقة الوحيدة للتخفيف من خطورة هذه الثغرة هي منع وعدم فتح أي مستندات وورد Word تحوي مقاطع فيديو مضمنة.
مصدر الخبر:
