研究人员提出一种用视频缩略图将office武器化的攻击方式

Cymulate安全公司研究人员设计了一种新的技术，可以利用嵌入到视频中的武器化office文档来达到恶意软件的效果。

  攻击者使用了嵌入式代码执行文件来打开Internet explorer download manager，先将html/JavaScript代码嵌入在word文档中，通过编辑document.xml文件将原本视频链接替换为恶意代码，诱使用户点击相应的视频缩略图（一般用在YouTube上），使得攻击者执行嵌入其中的JS代码。

  当视频嵌入word文档时，会创建一个HTML脚本，当用户点击文档中的缩略图时，便会通过IE执行其中的代码。该技术使用于office 2016及之前的版本，目前研究人员已通知了微软，但微软并不承认这是一个漏洞。