La firma de seguridad Votiro ha descubierto una vulnerabilidad en Microsoft Word que podría permitir a un atacante acceder fácilmente a los recursos de un ordenador inyectando scripts en el sistema para minar criptomononedas.

Los investigadores señalan cómo es posible aprovecharse de la función de Word que permite insertar vídeos desde Internet dentro de los documentos. Justamente el reproductor de vídeo de Word puede ser explotado para ejecutar código malicioso como algunos cryptominers.

Esta función disponible en las versiones más recientes de Word te deja incrustar vídeos desde YouTube, buscando en Bing o pegando el código que ofrezca la web donde está alojado.

Cuando reproducir un vídeo dentro de un documento de Word es más de lo que parece

La cuestión está en que Word no pone restricciones en lo que añaden los códigos de inserción dentro del documento, lo que quiere decir que el editor de textos puede aceptar código malicioso y el atacante no tiene que hacer mucho, solo alojar un vídeo en su propio dominio y hacer que cl código malicioso cargue con ese vídeo.

Cuando alguien abre el documento de Word y reproduce el vídeo insertado, el script de minado empieza a usar los recursos del ordenador de la víctima para minar criptomonedas.

Ejemplo de cómo la reproducción de este vídeo en Word termina causando un uso del CPU de 99%. Imagen de Vitaro

Vitaro también ofrece ejemplos de los escenarios en este y este enlace. En ambos casos aprovechan …