macOS-brugere kan blive målrettet med ondsindede angreb ved hjælp af Microsoft Office-filer, der har makroer indlejret, ifølge detaljer om den nu rettet udnyttelse delt i dag af sikkerhedsforsker Patrick Wardle, som også talte med Bundkort .
Hackere har længe brugt Office-filer med makroer indlejret i dem som en måde at få adgang til Windows-computere på, men udnyttelsen er også mulig på macOS. Ifølge Wardle kan en Mac-bruger potentielt blive inficeret blot ved at åbne en Microsoft Office-fil, der har en dårlig makro i sig.
Wardle delte et blogindlæg om den udnyttelse, han fandt for at manipulere Office-filer til at påvirke Macs, som han fremhævede under dagens online Black Hat-sikkerhedskonference.
Apple rettede den udnyttelse, som Wardle brugte i macOS 10.15.3, så den særlige sårbarhed ikke længere er tilgængelig for hackere at bruge, men den giver et interessant kig på en ny angrebsmetode, som vi kunne se mere af i fremtiden.
Wardles hack var kompliceret og involverede flere trin, så de interesserede i alle detaljer skal læse hans blog , men grundlæggende brugte han en Office-fil med et gammelt .slk-format til at køre makroer på macOS uden at informere brugeren.
'Sikkerhedsforskere elsker disse gamle filformater, fordi de blev skabt på et tidspunkt, hvor ingen tænkte på sikkerhed,' fortalte Wardle Bundkort .
Efter at have brugt det forældede filformat til at få macOS til at køre en makro i Microsoft Office uden at lade brugeren vide det, brugte han en anden fejl, der lod en hacker undslippe Microsoft Office Sandbox med en fil, der bruger et $-tegn. Filen var en .zip-fil, som macOS ikke kontrollerede mod notariseringsbeskyttelsen, der forhindrer brugere i at åbne filer, der ikke er fra kendte udviklere.
En demonstration af en downloadet Microsoft Office-fil med en makro, der bruges til at åbne Lommeregner.
Udnyttelsen krævede, at den målrettede person loggede ind på deres Mac ved to separate lejligheder, da logins udløser forskellige trin i udnyttelseskæden, hvilket gør det mindre sandsynligt, at det sker, men som Wardle siger, er det kun én person, der behøver at falde for det.
Microsoft fortalte Wardle, at det har fundet ud af, at 'enhver applikation, selv når den er i sandbox, er sårbar over for misbrug af disse API'er', og at den er i kontakt med Apple for at identificere og løse problemer, efterhånden som de opstår. De sårbarheder, som Wardle brugte til at demonstrere, hvordan makroer kan misbruges, er for længst blevet rettet af Apple, men der er altid en chance for, at en lignende udnyttelse kan dukke op senere.
Mac-brugere er ikke usårlige over for virus og bør udvise forsigtighed, når de downloader og åbner filer fra ukendte kilder, og nogle gange endda kendte kilder. Det er bedst at holde sig væk fra mistænkelige Office-filer og andre filer, der har lyssky oprindelse, selv med de beskyttelser, som Apple har indbygget i macOS.
Populære Indlæg