Новая версия Word оказалась потенциально уязвима к JS-майнерам

Исследователю Вотиро А. Дори (Votiro Amit Dori) удалось встроить скрытый скрипт для майнинга криптовалюты Monero в документ Word. Уязвимость пришла в текстовый редактор вместе с новой функцией проигрывания онлайн-видеозаписей.

Internet Explorer «без головы»

По словам Дори, подобная атака исполнима по двум причинам. Во-первых, Word позволяет вставлять видео-фреймы откуда угодно из Сети. Разработчики не установили никаких ограничений в виде «белого листа» разрешённых ресурсов. Во-вторых, проигрыватель представляет собой просто урезанную страницу в браузере Internet Explorer.

Злоумышленник может расположить видео на собственном домене, прикрутив к записи майнер. При открытии документа с «заражённой» страницей JavaScript начинает «добывать» криптовалюту.

Оно того не стоит

Однако такой способ добычи денег не совсем оправдан. Так как майнер работает только когда видео открыто в документе, больших доходов он, скорее всего, не принесёт. Просто почти никто не смотрит многочасовые видео. Особенно через Word.

BleepingComputer сравнивает майнинг Monero через файлы Word со взломом серьёзных правительственных сайтов по всему миру за награду в 24 $.

Двойное дно

Однако скрытые скрипты — не единственная потенциальная угроза для пользователей Word. Специалисты опасаются, что новая функция может запустить новую волну фишинговых атак. У мошенников есть возможность встраивать ссылки на липовые сайты прямо в документы через видеозаписи.

Дори сразу же уведомил Microsoft о своей находке, однако компания не считает новую функцию опасной. Многие антивирусы уже умеют «отлавливать» майнинговые скрипты, что ещё более затрудняет осуществление подобной атаки.