Els usuaris de macOS podrien ser objectiu d'atacs maliciosos mitjançant fitxers de Microsoft Office que tinguin macros incrustades, segons els detalls sobre l'explotació ara corregida. compartit avui per l'investigador de seguretat Patrick Wardle, amb qui també va parlar Placa base .
Els pirates informàtics han utilitzat durant molt de temps fitxers d'Office amb macros incrustades com a manera d'accedir a ordinadors Windows, però l'explotació també és possible a macOS. Segons Wardle, un usuari de Mac podria estar infectat només amb l'obertura d'un fitxer de Microsoft Office que tingui una macro dolenta.
Wardle ha compartit una publicació al blog sobre l'explotació que va trobar per manipular fitxers d'Office per afectar els Mac, que ha destacat durant la conferència de seguretat en línia de Black Hat d'avui.
Apple va solucionar l'explotació que Wardle va utilitzar a macOS 10.15.3, de manera que aquesta vulnerabilitat particular ja no està disponible per als pirates informàtics, però ofereix una visió interessant d'un mètode d'atac emergent que podríem veure més en el futur.
El pirateig de Wardle va ser complicat i va implicar diversos passos, de manera que els interessats en tots els detalls hauria de llegir el seu blog , però bàsicament va utilitzar un fitxer d'Office amb un format antic .slk per executar macros a macOS sense informar l'usuari.
'Els investigadors de seguretat estimen aquests formats de fitxer antics perquè es van crear en un moment en què ningú pensava en la seguretat', va dir Wardle. Placa base .
Després d'utilitzar el format de fitxer antiquat per aconseguir que macOS executés una macro a Microsoft Office sense avisar l'usuari, va utilitzar un altre defecte que va permetre a un pirata informàtic escapar de la caixa de seguretat de Microsoft Office amb un fitxer que utilitza un signe $. El fitxer era un fitxer .zip, que macOS no va comprovar amb les proteccions de notarització que impedeixen que els usuaris obrin fitxers no de desenvolupadors coneguts.
Una demostració d'un fitxer de Microsoft Office descarregat amb una macro que s'utilitza per obrir la calculadora.
L'explotació requeria que la persona objectiu iniciés sessió al seu Mac en dues ocasions diferents, ja que els inicis de sessió desencadenen diferents passos a la cadena d'explotació, cosa que fa que sigui menys probable, però com diu Wardle, només cal que una persona s'enamori.
Microsoft va dir a Wardle que ha trobat que 'qualsevol aplicació, fins i tot quan es troba en una caixa de sorra, és vulnerable al mal ús d'aquestes API' i que està en contacte amb Apple per identificar i solucionar problemes a mesura que sorgeixen. Les vulnerabilitats que Wardle va utilitzar per demostrar com es pot abusar de les macros fa temps que han estat pegats per Apple, però sempre hi ha la possibilitat que un exploit similar pugui aparèixer més tard.
Els usuaris de Mac no són invulnerables als virus i haurien de tenir precaució a l'hora de descarregar i obrir fitxers de fonts desconegudes i, de vegades, fins i tot de fonts conegudes. El millor és mantenir-se allunyat dels fitxers d'Office sospitosos i altres fitxers que tenen orígens ombrívols, fins i tot amb les proteccions que Apple ha incorporat a macOS.
Entrades Populars