นักวิจัยด้านความปลอดภัยจากบริษัทอิสราเอลอย่าง Votiro ได้ค้นพบว่าการฝังวิดิโอในไฟล์เอกสารเวิร์ดแบบใหม่มีช่องโหว่ที่เปิดให้ฝังสคริปต์ Cryptojacking เพื่อขุดเหมืองเงินคริปโตสกุล Monero บนเครื่องโดยที่เหยื่อไม่รู้ตัวได้ จากฟีเจอร์ใหม่ล่าสุดของ Microsoft Word ที่เปิดให้ผู้ใช้ฝังวิดิโอจากอินเทอร์เน็ตในไฟล์เวิร์ดโดยไม่ต้องฝังไฟล์วิดิโอทั้งหมดในเอกสารแบบเมื่อก่อน
ฟีเจอร์ใหม่นี้ผู้ใช้สามารถคัดลอกโค้ด iframe ของวิดิโอลงในหน้าต่างป๊อบอัพของเวิร์ด ซึ่งวิดีโอจะโผล่ขึ้นมาบนเอกสารในการเปิดดูครั้งต่อไป โดยผู้เปิดเอกสารสามารถกดปุ่มเล่นวิดิโอที่อยู่ใน iframe เพื่อเล่นวิดิโอจากในเอกสารได้เลย
ทาง Votiro มองว่าช่องโหว่นี้เกิดจากสองสาเหตุได้แก่ การที่เวิร์ดอนุญาตให้ใส่โค้ด iframe ที่ลิงค์จากบนอินเทอร์เน็ตได้อย่างไม่จำกัด แทนที่จะทำไวท์ลิสต์คัดกรองที่มา ส่วนอีกเหตุผลหนึ่งคือ หน้าต่างป๊อบอัพที่ขึ้นมาตอนเล่นวิดิโอนั้นแท้จริงแล้วคือหน้าต่างบราวเซอร์ของ Internet Explorer จำแลงมานั่นเอง
นั่นหมายความว่า แฮ็กเกอร์สามารถโฮสต์ไฟล์วิดิโอบนโดเมนของตนเอง แล้วฝังโค้ดให้รันสคริปต์ขุดเงินคริปโตผ่านบราวเซอร์หรือ Cryptojacking ให้ส่งข้อมูลไปพร้อมกับวิดิโอไปด้วย เมื่อ IE ที่อยู่ในเวิร์ดเปิดหน้าต่างเล่นวิดิโอ ก็จะโดนขุดเงินคริปโตเหมือนเปิดหน้าเว็บดังกล่าวผ่าน IE ปกตินั่นเอง แต่อย่างไรก็ดี นักวิจัยท่านอื่นมองว่าการทำแบบนี้ไม่คุ้มเอามากๆ เพราะการขุดเงินคริปโตให้ได้เงินจริง ต้องเปิดหน้าต่างทิ้งไว้เป็นเวลานานพอสมควร ขณะที่หน้าต่างป๊อบอัพเล่นวิดิโอในเวิร์ด พอเล่นจบก็โดนปิดไปแล้ว
ที่มา : Bleepingcomputer