Utilizatorii macOS ar putea fi vizați de atacuri rău intenționate folosind fișiere Microsoft Office care au macrocomenzi încorporate, conform detaliilor despre exploit-ul acum remediat împărtășită astăzi de cercetătorul de securitate Patrick Wardle, care a vorbit și cu Placa de baza .
Hackerii au folosit de mult timp fișiere Office cu macrocomenzi încorporate în ele ca o modalitate de a avea acces la computerele Windows, dar exploatarea este posibilă și pe macOS. Potrivit lui Wardle, un utilizator de Mac ar putea fi infectat doar prin deschiderea unui fișier Microsoft Office care conține o macrocomandă proastă.
Wardle a distribuit o postare pe blog despre exploit-ul pe care l-a găsit pentru manipularea fișierelor Office pentru a afecta Mac-urile, pe care îl evidențiază în timpul conferinței online de securitate Black Hat de astăzi.
Apple a remediat exploit-ul pe care Wardle a folosit-o în macOS 10.15.3, astfel încât această vulnerabilitate anume nu mai este disponibilă pentru utilizare de către hackeri, dar oferă o privire interesantă asupra unei metode de atac emergente pe care am putea-o vedea mai multe în viitor.
Hack-ul lui Wardle a fost complicat și a implicat mai mulți pași, așa că cei interesați de detalii complete ar trebui să-i citească blogul , dar practic a folosit un fișier Office cu un vechi format .slk pentru a rula macrocomenzi pe macOS fără a informa utilizatorul.
„Cercetătorii în domeniul securității iubesc aceste formate de fișiere antice pentru că au fost create într-un moment în care nimeni nu se gândea la securitate”, a spus Wardle. Placa de baza .
După ce a folosit formatul de fișier învechit pentru a face ca macOS să ruleze o macrocomandă în Microsoft Office fără a anunța utilizatorul, a folosit un alt defect care a permis unui hacker să scape din Microsoft Office Sandbox cu un fișier care folosește semnul $. Fișierul era un fișier .zip, pe care macOS nu l-a verificat în raport cu protecțiile de notarizare care împiedică utilizatorii să deschidă fișiere care nu sunt de la dezvoltatori cunoscuți.
O demonstrație a unui fișier Microsoft Office descărcat cu o macrocomandă folosită pentru a deschide Calculator.
Exploatarea a cerut persoanei vizate să se conecteze la Mac-ul său în două ocazii separate, deoarece conectările declanșează pași diferiți în lanțul de exploatare, ceea ce face ca acest lucru să fie mai puțin probabil să se întâmple, dar așa cum spune Wardle, doar o singură persoană trebuie să se îndrăgească de el.
Microsoft i-a spus lui Wardle că a constatat că „orice aplicație, chiar și atunci când este inclusă în sandbox, este vulnerabilă la utilizarea greșită a acestor API-uri” și că este în contact cu Apple pentru a identifica și remedia problemele pe măsură ce apar. Vulnerabilitățile pe care le folosea Wardle pentru a demonstra modul în care macrocomenzile pot fi abuzate au fost corectate de mult de Apple, dar există întotdeauna șansa ca un exploit similar să apară mai târziu.
Utilizatorii de Mac nu sunt invulnerabili la viruși și ar trebui să fie precauți atunci când descarcă și deschid fișiere din surse necunoscute și, uneori, chiar din surse cunoscute. Cel mai bine este să stai departe de fișierele Office suspecte și alte fișiere care au origini sumbre, chiar și cu protecțiile pe care Apple le-a construit în macOS.
Posturi Populare