Потребителите на macOS могат да бъдат насочени към злонамерени атаки, използвайки файлове на Microsoft Office, които имат вградени макроси, според подробности за вече коригирания експлойт споделено днес от изследователя по сигурността Патрик Уордъл, който също говори с дънна платка .
Хакерите отдавна използват Office файлове с вградени в тях макроси като начин за достъп до компютри с Windows, но експлоата е възможна и в macOS. Според Wardle, потребител на Mac може потенциално да бъде заразен само чрез отваряне на файл на Microsoft Office, който има лош макрос в него.
Уордъл сподели публикация в блога относно експлоата, който той откри за манипулиране на файлове на Office, за да повлияе на Mac, което той подчертава по време на днешната онлайн конференция за сигурност на Black Hat.
Apple коригира експлойта, който Wardle използва в macOS 10.15.3, така че тази конкретна уязвимост вече не е достъпна за хакери, но предлага интересен поглед към нововъзникващ метод за атака, който можем да видим повече в бъдеще.
Хакът на Wardle беше сложен и включваше множество стъпки, така че тези, които се интересуваха от пълните подробности трябва да прочета неговия блог , но основно той използва Office файл със стар .slk формат, за да стартира макроси на macOS, без да информира потребителя.
„Изследователите по сигурността обичат тези древни файлови формати, защото са създадени във време, когато никой не е мислил за сигурност“, каза Уордъл дънна платка .
След като използва остарелия файлов формат, за да накара macOS да стартира макрос в Microsoft Office, без да уведоми потребителя, той използва друг недостатък, който позволи на хакер да избяга от пясъчника на Microsoft Office с файл, който използва знак $. Файлът беше .zip файл, който macOS не провери срещу нотариалните защити, които пречат на потребителите да отварят файлове, които не са от известни разработчици.
Демонстрация на изтеглен файл на Microsoft Office с макрос, използван за отваряне на калкулатора.
Експлойтът изисква от целевото лице да влезе в своя Mac в два отделни случая, тъй като влизанията задействат различни стъпки във веригата на експлойти, което прави по-малко вероятно да се случи, но както казва Уордъл, само един човек трябва да се влюби в него.
Microsoft каза на Wardle, че е открила, че „всяко приложение, дори когато е затворено, е уязвимо за злоупотреба с тези API“ и че е в контакт с Apple, за да идентифицира и коригира проблемите, когато възникнат. Уязвимостите, които Wardle използва, за да демонстрира как могат да бъдат злоупотребявани макроси, отдавна са поправени от Apple, но винаги има шанс подобен експлойт да се появи по-късно.
Потребителите на Mac не са неуязвими за вируси и трябва да бъдат внимателни, когато изтеглят и отварят файлове от неизвестни източници, а понякога дори и от известни източници. Най-добре е да стоите далеч от подозрителни файлове на Office и други файлове, които имат сенчест произход, дори със защитите, които Apple е вградила в macOS.
Популярни Публикации