„MacOS“ naudotojai gali būti nukreipti į kenkėjiškas atakas naudojant „Microsoft Office“ failus, kuriuose yra įterptų makrokomandų, remiantis išsamia informacija apie dabar pataisytą išnaudojimą. pasidalino šiandien saugumo tyrinėtojas Patrickas Wardle'as, kuris taip pat kalbėjosi su Pagrindinė plokštė .
Įsilaužėliai jau seniai naudojo „Office“ failus su juose įterptomis makrokomandomis, kad pasiektų „Windows“ kompiuterius, tačiau išnaudoti galima ir „macOS“. Wardle teigimu, „Mac“ vartotojas gali būti užkrėstas tiesiog atidaręs „Microsoft Office“ failą, kuriame yra bloga makrokomanda.
Wardle pasidalino tinklaraščio įrašu apie išnaudojimą, kurį jis rado manipuliuodamas „Office“ failais, kad paveiktų „Mac“ kompiuterius, ir tai jis pabrėžia per šiandieninę internetinę Black Hat saugumo konferenciją.
„Apple“ ištaisė išnaudojimą, kurį Wardle naudojo „macOS 10.15.3“, kad įsilaužėliai nebegalėtų naudotis šiuo pažeidžiamumu, tačiau ji siūlo įdomiai pažvelgti į atsirandantį atakos metodą, kurio ateityje pamatysime daugiau.
Wardle įsilaužimas buvo sudėtingas ir apėmė kelis veiksmus, todėl tie, kurie domisi visa informacija reikėtų perskaityti jo dienoraštį , bet iš esmės jis naudojo „Office“ failą senu .slk formatu makrokomandoms paleisti „macOS“ sistemoje neinformavęs vartotojo.
'Saugumo tyrinėtojai mėgsta šiuos senovinius failų formatus, nes jie buvo sukurti tuo metu, kai niekas negalvojo apie saugumą', - sakė Wardle'as. Pagrindinė plokštė .
Panaudojęs pasenusį failo formatą, kad „macOS“ paleistų makrokomandą „Microsoft Office“, nepranešęs vartotojui, jis panaudojo kitą trūkumą, leidžiantį įsilaužėliui pabėgti iš „Microsoft Office Sandbox“ su failu, kuriame naudojamas $ ženklas. Failas buvo .zip failas, kurio „MacOS“ nepatikrino pagal notaro patvirtinimo apsaugą, neleidžiančią vartotojams atidaryti failų, kurių nėra žinomų kūrėjų.
Atsisiųsto „Microsoft Office“ failo demonstravimas su makrokomanda, naudojama skaičiuotuvui atidaryti.
Dėl išnaudojimo tikslinis asmuo turėjo prisijungti prie savo „Mac“ dviem skirtingais atvejais, nes prisijungimai suaktyvina skirtingus išnaudojimo grandinės veiksmus, todėl mažiau tikėtina, kad tai įvyks, tačiau, kaip sako Wardle, tik vienam asmeniui reikia už tai užkliūti.
„Microsoft“ pranešė Wardle'ui, kad ji nustatė, kad „bet kuri programa, net jei ji yra smėlio dėžėje, yra pažeidžiama dėl netinkamo šių API naudojimo“ ir kad ji susisiekia su „Apple“, kad nustatytų ir išspręstų iškilusias problemas. Pažeidžiamumas, kurį Wardle naudojo norėdamas parodyti, kaip galima piktnaudžiauti makrokomandomis, „Apple“ jau seniai pataisė, tačiau visada yra tikimybė, kad panašus išnaudojimas gali pasirodyti vėliau.
„Mac“ vartotojai nėra nepažeidžiami virusų ir turėtų būti atsargūs atsisiųsdami ir atidarydami failus iš nežinomų šaltinių, o kartais net iš žinomų šaltinių. Geriausia vengti įtartinų „Office“ failų ir kitų neaiškios kilmės failų, net jei „Apple“ įdiegė „macOS“ apsaugą.
Populiarios Temos