研究人員發現一個隱藏的微軟Word功能，該功能可能被攻擊者濫用以獲取受害者的系統信息。

卡巴斯基實驗室啟發式檢測組經理Alexander Liskin、高級惡意軟件分析師Anton Ivanov以及安全研究人員Andrey Kryukov發現了這個隱藏的Word功能，他們在包含可疑釣魚郵件的惡意附件中發現了這個被稱為INCLUDEPICTURE的隱藏功能。INCLUDEPICTURE字段包含以Unicode格式的鏈接，而不是預期的ASCII格式，這會被Word忽略，并被攻擊者用于發送GET請求到惡意域。

根據研究人員介紹，利用該隱藏Word功能的有針對性攻擊非常難以檢測，因為該惡意文檔不包含宏、漏洞利用或者任何其他活動內容。

“我們仔細檢查后發現，該惡意文件包含幾個鏈接—到第三方網頁資源的PHP腳本。當我們試圖在Microsoft Word中打開這些文件時，我們發現該應用處理了其中一個鏈接。結果是，攻擊者可接收有關計算機上安裝的軟件的信息，”卡巴斯基研究人員在其分析中寫道，“該代碼可有效發送有關受害者機器中安裝的軟件的信息，包括Microsoft Office的版本信息等。”

研究人員指出，這個隱藏的功能存在于多個版本的Windows Office、iOS Office和Android Office中，但LibreOffice和OpenOffice等其他生產套件并沒有調用惡意鏈接。該研究團隊還指出并沒有關于INCLUDEPICTURE的官方文檔。

future attacks.隱藏Word功能可能允許攻擊者竊取系統信息用于未來攻擊。

Cymulate公司首席技術官Avihai Ben-Yossef稱，系統信息盜竊可能只是攻擊的第一階段。

“了解Office系統版本將允許攻擊者確定打開該Word文檔的客戶端是否容易受到已知漏洞利用的攻擊，從而幫助他們發動攻擊。試想一下，通過簡單地發送數千封電子郵件給用戶以及收集打開文檔的用戶的信息，攻擊者可構建一個數據庫，”Ben-Yossef稱，“攻擊者會知道他們的Office版本是否容易受到特定漏洞的攻擊，并能夠在必要時觸發攻擊。”

Skybox Security研究實驗室負責人Marina Kidron稱，魚叉式網絡釣魚攻擊活動（例如濫用這個隱藏Word功能的攻擊）可能并不總是對企業構成迫在眉睫的威脅，但這種系統信息被盜竊可能造成或者觸發有針對性攻擊。

“在網絡攻擊中，情報是關鍵，在網絡防御中，同樣如此。有針對性攻擊通常比分布式攻擊（例如勒索軟件）更復雜，因為它們具有并需要更多關于環境的背景信息。通過這些背景信息，攻擊者可制造更好的逃避被檢測的機會，”Kidron稱，“這可表明基于簽名的入侵檢測系統無效，并提高良好網絡安全措施（例如網絡分段和漏洞管理）的重要性。如果攻擊者可逃過入侵檢測系統，你需要確保具有活動或可用漏洞利用的漏洞已被修復、訪問受到限制、控制措施部署到位，以防止攻擊蔓延。