PowerPoint“弱点”为恶意的鼠标悬停攻击打开了大门

研究人员对他认为可能是新颖的攻击媒介发出了警告，该攻击媒介使黑客只需悬停在超文本链接上，即可操纵PowerPoint文件下载并开始安装恶意软件。

该技术确实需要受害者接受一个弹出对话框来运行或安装程序。 由于这些原因，Microsoft不会将其视为漏洞。 独立安全研究员Mandar Satam不同意。

“攻击能够绕过PowerPoint无法将远程文件添加到HyperLink操作的限制，如果我们尝试使用GUI添加，则不能，” Satam告诉Threatpost。 他补充说，包含文件名的对话框文本可以进行显示，包括“ Windows Update.bat”或“ Loading .. Please Wait.exe”。 使用该技术进行概念验证攻击的Satam说，“弱点”在PowerPoint的Open XML Slide Show文件（称为PPSX）中。 这些类型的PowerPoint文件仅设计用于演示文稿的播放，不能进行编辑。

他说：“在PowerPoint中，可以在鼠标悬停时设置动作。” 在他的PoC攻击中，Satam绕过了Microsoft于2017年实施的PowerPoint限制，以防止 PowerPoint中的恶意链接仅通过悬停在超文本链接上来安装本地可执行程序。

研究人员在技术演练中写道：“自从修补此漏洞以来，此漏洞是对它的扩展，在该漏洞中，我们不使用“运行程序”操作，而是使用“ HyperLink To”操作并将其设置为“其他文件”。 研究 。

通过将“运行程序”交换为“ HyperLink To”，PoC可以从远程服务器“具有Web分布式服务器（WebDAV）扩展的攻击者控制的Web服务器”中运行可执行文件。 这种类型的服务器允许远程内容编辑和读取。

研究人员写道：“由于Windows 10中SMB连接的工作方式，即使攻击者托管了支持WebDAV扩展的Web服务器，即使关闭了SMB端口（445/139），也可以通过Internet进行SMB连接。”

Windows Server消息块（SMB）协议提供文件共享，网络浏览，打印服务以及网络上的进程间通信。 在Satam的PoC中，它规避了对嘈杂的HTTPS请求的依赖，该HTTPS请求可能会警告最终用户恶意活动。

“如果将HTTP / HTTPS URL与（PowerPoint）超链接操作链接在一起，则操作系统将使用系统上的浏览器下载文件，届时Windows Defender / Smartscreen将进入该文件，表明它是不受信任的文件； 研究人员写道，即使我们点击“运行”，它也会隔离文件。

由于“具有动力的悬停”攻击只会触发一个弹出对话框（攻击者可以操纵该对话框），因此研究人员将其视为漏洞。 但是，当他联系Microsoft安全响应中心（MSRC）时，他于4月2日被告知他的询问将被“关闭”，因为攻击需要社会工程学的一部分。

“不幸的是，您的报告似乎要依靠社会工程学来完成，而这并没有达到安全服务的标准……因此，该线程正在关闭并且不再受到监控，” MSRC回函给研究人员。

微软对Threatpost的询问也是如此。 为了使这项社会工程技术取得成功，用户必须首先采取行动以消除安全警告。 我们鼓励客户养成良好的计算习惯，包括在单击网页链接，打开未知文件或接受文件传输时要谨慎行事。”微软发言人在一份声明中写道。

以下是“ Hover with Power” PoC的动画效果：

担心在家办公时代的云安全性？ 美国东部时间4月23日下午2点 ，加入DivvyCloud和Threatpost进行免费的网络研讨会， 这是《面对危机确保云安全的实用指南》 。 获得有关如何避免面对COVID-19以及在整个危机期间如何避免云中断和混乱的独家研究见解和重要的高级知识。 请在此处注册此赞助的网络研讨会。