Οι χρήστες macOS θα μπορούσαν να στοχοποιηθούν με κακόβουλες επιθέσεις χρησιμοποιώντας αρχεία του Microsoft Office που έχουν ενσωματωμένες μακροεντολές, σύμφωνα με λεπτομέρειες σχετικά με το πλέον διορθωμένο exploit κοινοποιήθηκε σήμερα από τον ερευνητή ασφαλείας Patrick Wardle, ο οποίος μίλησε επίσης με Μητρική πλακέτα .
Οι χάκερ χρησιμοποιούν εδώ και καιρό αρχεία του Office με μακροεντολές ενσωματωμένες σε αυτά ως τρόπο πρόσβασης σε υπολογιστές με Windows, αλλά η εκμετάλλευση είναι δυνατή και στο macOS. Σύμφωνα με τον Wardle, ένας χρήστης Mac θα μπορούσε ενδεχομένως να μολυνθεί απλά ανοίγοντας ένα αρχείο του Microsoft Office που έχει μια κακή μακροεντολή μέσα.
Wardle μοιράστηκε μια ανάρτηση ιστολογίου σχετικά με την εκμετάλλευση που βρήκε για το χειρισμό των αρχείων του Office για να επηρεάσει τους Mac, την οποία υπογραμμίζει κατά τη σημερινή διαδικτυακή διάσκεψη ασφαλείας Black Hat.
Η Apple διόρθωσε το exploit που χρησιμοποίησε το Wardle στο macOS 10.15.3, έτσι ώστε η συγκεκριμένη ευπάθεια να μην είναι πλέον διαθέσιμη για χρήση από τους χάκερ, αλλά προσφέρει μια ενδιαφέρουσα ματιά σε μια αναδυόμενη μέθοδο επίθεσης που θα μπορούσαμε να δούμε περισσότερα στο μέλλον.
Το χακάρισμα του Wardle ήταν περίπλοκο και περιλάμβανε πολλά βήματα, έτσι όσοι ενδιαφέρονται για τις πλήρεις λεπτομέρειες πρέπει να διαβάσει το blog του , αλλά βασικά χρησιμοποίησε ένα αρχείο του Office με μια παλιά μορφή .slk για να τρέξει μακροεντολές στο macOS χωρίς να ενημερώσει τον χρήστη.
«Οι ερευνητές ασφαλείας αγαπούν αυτές τις αρχαίες μορφές αρχείων επειδή δημιουργήθηκαν σε μια εποχή που κανείς δεν σκεφτόταν την ασφάλεια», είπε ο Wardle Μητρική πλακέτα .
Αφού χρησιμοποίησε την απαρχαιωμένη μορφή αρχείου για να κάνει το macOS να εκτελέσει μια μακροεντολή στο Microsoft Office χωρίς να ενημερώσει τον χρήστη, χρησιμοποίησε ένα άλλο ελάττωμα που επέτρεψε σε έναν χάκερ να ξεφύγει από το Microsoft Office Sandbox με ένα αρχείο που χρησιμοποιεί το σύμβολο $. Το αρχείο ήταν αρχείο .zip, το οποίο το macOS δεν έλεγξε έναντι των συμβολαιογραφικών προστασιών που εμποδίζουν τους χρήστες να ανοίγουν αρχεία που δεν προέρχονται από γνωστούς προγραμματιστές.
Μια επίδειξη ενός ληφθέντος αρχείου του Microsoft Office με μια μακροεντολή που χρησιμοποιείται για το άνοιγμα της Αριθμομηχανής.
Το exploit απαιτούσε από το στοχευόμενο άτομο να συνδεθεί στο Mac του σε δύο διαφορετικές περιπτώσεις, καθώς οι συνδέσεις ενεργοποιούν διαφορετικά βήματα στην αλυσίδα εκμετάλλευσης, γεγονός που καθιστά λιγότερο πιθανό να συμβεί, αλλά όπως λέει ο Wardle, μόνο ένα άτομο πρέπει να το δεχτεί.
Η Microsoft είπε στον Wardle ότι ανακάλυψε ότι «κάθε εφαρμογή, ακόμη και όταν βρίσκεται σε sandbox, είναι ευάλωτη σε κακή χρήση αυτών των API» και ότι βρίσκεται σε επαφή με την Apple για να εντοπίσει και να διορθώσει προβλήματα όταν προκύπτουν. Τα τρωτά σημεία που χρησιμοποίησε ο Wardle για να δείξει πώς μπορεί να γίνει κατάχρηση των μακροεντολών έχουν επιδιορθωθεί εδώ και καιρό από την Apple, αλλά υπάρχει πάντα η πιθανότητα να εμφανιστεί αργότερα ένα παρόμοιο exploit.
Οι χρήστες Mac δεν είναι άτρωτοι στους ιούς και θα πρέπει να είναι προσεκτικοί κατά τη λήψη και το άνοιγμα αρχείων από άγνωστες πηγές, και μερικές φορές, ακόμη και από γνωστές πηγές. Είναι καλύτερο να μείνετε μακριά από ύποπτα αρχεία του Office και άλλα αρχεία που έχουν σκιώδη προέλευση, ακόμη και με τις προστασίες που έχει ενσωματώσει η Apple στο macOS.
Δημοφιλείς Αναρτήσεις