macOS-användare kan riktas mot skadliga attacker med hjälp av Microsoft Office-filer som har makron inbäddade, enligt detaljer om den nu åtgärdade exploateringen delade idag av säkerhetsforskaren Patrick Wardle, som också talat med Moderkort .
Hackare har länge använt Office-filer med makron inbäddade i dem som ett sätt att få tillgång till Windows-datorer, men utnyttjandet är också möjligt på macOS. Enligt Wardle kan en Mac-användare potentiellt bli infekterad bara genom att öppna en Microsoft Office-fil som har ett dåligt makro i sig.
Wardle har delat ett blogginlägg om utnyttjandet som han hittade för att manipulera Office-filer för att påverka Mac-datorer, vilket han lyfter fram under dagens Black Hat-säkerhetskonferens online.
Apple fixade utnyttjandet som Wardle använde i macOS 10.15.3, så att den specifika sårbarheten inte längre är tillgänglig för hackare att använda, men den erbjuder en intressant titt på en framväxande attackmetod som vi skulle kunna se mer av i framtiden.
Wardles hack var komplicerat och involverade flera steg, så de som var intresserade av fullständiga detaljer borde läsa hans blogg , men i princip använde han en Office-fil med ett gammalt .slk-format för att köra makron på macOS utan att informera användaren.
'Säkerhetsforskare älskar dessa uråldriga filformat eftersom de skapades vid en tidpunkt då ingen tänkte på säkerhet,' sa Wardle till Moderkort .
Efter att ha använt det föråldrade filformatet för att få macOS att köra ett makro i Microsoft Office utan att låta användaren veta det, använde han ett annat fel som lät en hackare fly Microsoft Office Sandbox med en fil som använder ett $-tecken. Filen var en .zip-fil, som macOS inte kontrollerade mot notariseringsskydden som hindrar användare från att öppna filer som inte är från kända utvecklare.
En demonstration av en nedladdad Microsoft Office-fil med ett makro som används för att öppna Kalkylatorn.
Exploateringen krävde att den riktade personen loggar in på sin Mac vid två separata tillfällen eftersom inloggningar utlöser olika steg i exploateringskedjan, vilket gör det mindre sannolikt att det händer, men som Wardle säger, bara en person behöver falla för det.
Microsoft berättade för Wardle att de har funnit att 'alla applikationer, även i sandlådor, är sårbara för missbruk av dessa API:er', och att de är i kontakt med Apple för att identifiera och åtgärda problem när de uppstår. Sårbarheterna som Wardle använde för att visa hur makron kan missbrukas har för länge sedan korrigerats av Apple, men det finns alltid en chans att en liknande exploatering kan dyka upp senare.
Mac-användare är inte osårbara för virus och bör vara försiktiga när de laddar ner och öppnar filer från okända källor, och ibland även kända källor. Det är bäst att hålla sig borta från misstänkta Office-filer och andra filer som har skumt ursprung, även med de skydd som Apple har inbyggt i macOS.
Populära Inlägg