macOS-gebruikers kunnen het doelwit zijn van kwaadaardige aanvallen met behulp van Microsoft Office-bestanden waarin macro's zijn ingesloten, volgens details over de nu opgeloste exploit vandaag gedeeld door beveiligingsonderzoeker Patrick Wardle, die ook sprak met Moederbord .
Hackers gebruiken al lang Office-bestanden met daarin ingebedde macro's om toegang te krijgen tot Windows-computers, maar de exploit is ook mogelijk op macOS. Volgens Wardle kan een Mac-gebruiker mogelijk worden geïnfecteerd door een Microsoft Office-bestand te openen dat een slechte macro bevat.
Wardle een blogpost gedeeld over de exploit die hij vond voor het manipuleren van Office-bestanden om Macs te beïnvloeden, die hij benadrukt tijdens de online Black Hat-beveiligingsconferentie van vandaag.
Apple heeft de exploit gerepareerd die Wardle in macOS 10.15.3 gebruikte, zodat een bepaalde kwetsbaarheid niet langer beschikbaar is voor hackers, maar het biedt een interessante kijk op een opkomende aanvalsmethode waarvan we in de toekomst meer zouden kunnen zien.
Wardle's hack was ingewikkeld en omvatte meerdere stappen, dus degenen die geïnteresseerd zijn in alle details zou zijn blog moeten lezen , maar eigenlijk gebruikte hij een Office-bestand met een oud .slk-formaat om macro's op macOS uit te voeren zonder de gebruiker hiervan op de hoogte te stellen.
'Beveiligingsonderzoekers houden van deze oude bestandsindelingen omdat ze zijn gemaakt in een tijd dat niemand aan beveiliging dacht', zegt Wardle. Moederbord .
Nadat hij de verouderde bestandsindeling had gebruikt om macOS een macro in Microsoft Office te laten uitvoeren zonder de gebruiker hiervan op de hoogte te stellen, gebruikte hij een andere fout waardoor een hacker uit de Microsoft Office Sandbox kon ontsnappen met een bestand dat een $-teken gebruikt. Het bestand was een .zip-bestand, dat macOS niet controleerde met de notariële beveiligingen die voorkomen dat gebruikers bestanden openen die niet van bekende ontwikkelaars zijn.
Een demonstratie van een gedownload Microsoft Office-bestand met een macro die wordt gebruikt om Calculator te openen.
De exploit vereiste dat de beoogde persoon zich twee keer op zijn Mac aanmeldde, omdat logins verschillende stappen in de exploitketen activeren, waardoor het minder waarschijnlijk is dat dit gebeurt, maar zoals Wardle zegt, hoeft slechts één persoon ervoor te trappen.
Microsoft vertelde Wardle dat het heeft ontdekt dat 'elke applicatie, zelfs wanneer deze in een sandbox zit, kwetsbaar is voor misbruik van deze API's' en dat het in contact staat met Apple om problemen te identificeren en op te lossen zodra ze zich voordoen. De kwetsbaarheden die Wardle gebruikte om aan te tonen hoe macro's kunnen worden misbruikt, zijn allang door Apple gepatcht, maar er is altijd een kans dat een soortgelijke exploit later opduikt.
Mac-gebruikers zijn niet onkwetsbaar voor virussen en moeten voorzichtig zijn bij het downloaden en openen van bestanden van onbekende bronnen, en soms zelfs bekende bronnen. Het is het beste om uit de buurt te blijven van verdachte Office-bestanden en andere bestanden met een duistere oorsprong, zelfs met de beveiligingen die Apple in macOS heeft ingebouwd.
Populaire Berichten