Cymulate的研究人员发现了一种滥用Microsoft Word Online Video功能来执行恶意代码的方法。 本文《滥用word联机视频特征执行恶意代码POC》原文翻译为ang010elahttps://www.com/archives/78507.html 由于嵌入式在线视频可以在文档中显示，同时假装隐藏在后台运行的HTML/JS代码，这导致了代码执行的场景。 攻击是通过将视频嵌入word文档，编辑名为document.xml的XML文件，并将视频链接替换为攻击者创建的有效负载来完成的。 Payload可以使用嵌入式代码执行文件打开IE Download Manager。 POC 1.创建一个word文档。 2.嵌入在线视频:插入 - >在线视频，插入视频地址（YouTube）。 3. 保存嵌入在线视频的word文档。 4.解压缩word文档： Docx文件实际上是一个包含docx文件中所有媒体文件的包。如果您使用解压缩工具或修改docx扩展名以压缩并解压缩，您可以在docx文件中看到许多文件和目录： 5.编辑word文件夹中的document.xml 文件 6.在.xml文件中，使用Youtube iframe代码查找embeddedHtml参数。用任何html或JS代码替换当前的iframe代码。 7. 保存修改后的document.xml文件，使用修改后的xml文件更新docx包，然后打开该单词。 这成功创建了具有嵌入式可执行文件的POC。运行后，代码将使用  msSaveOrOpenBlob 方法打开IE下载管理器，并选择运行或保存文件以触发可执行文件的下载。 POC视频地址：
https://blog.cymulate.com/abusing-microsoft-office-online-video 整个过程中没有安全警报。  本文《滥用word联机视频特征执行恶意代码POC》作者ang010ela原文翻译https://www.com/archives/78507.html 缓解措施 截取Document.xml中包含embeddedHtml标记的word文档，或截取包含嵌入视频的word文档。 https://blog.cymulate.com/abusing-microsoft-office-online-video