Корисници мацОС-а могли би бити мета злонамерних напада помоћу Мицрософт Оффице датотека које имају уграђене макрое, према детаљима о сада исправљеном експлоатацији подељено данас од истраживача безбедности Патрика Вордла, који је такође разговарао са Матицна плоца .
Хакери већ дуго користе Оффице датотеке са макроима уграђеним у њих као начин да добију приступ Виндовс рачунарима, али је експлоатација могућна и на мацОС-у. Према Вардлеу, корисник Мац-а би се потенцијално могао заразити само отварањем датотеке Мицрософт Оффице-а која има лош макро.
Вардле је поделио објаву на блогу о експлоатацији коју је пронашао за манипулисање Оффице датотекама да би утицало на Мац рачунаре, што је истакао током данашње онлајн Блацк Хат безбедносне конференције.
Аппле је поправио експлоатацију коју је Вардл користио у мацОС-у 10.15.3, тако да та одређена рањивост више није доступна хакерима за употребу, али нуди занимљив поглед на нови метод напада који бисмо могли више да видимо у будућности.
Вардлов хак је био компликован и укључивао је више корака, тако да су они заинтересовани за све детаље треба да прочита његов блог , али је у основи користио Оффице датотеку са старим .слк форматом за покретање макроа на мацОС-у без обавештавања корисника.
„Истраживачи безбедности воле ове древне формате датотека јер су створени у време када нико није размишљао о безбедности“, рекао је Вордл Матицна плоца .
Након што је користио застарели формат датотеке да би натерао мацОС да покрене макро у Мицрософт Оффице-у, а да не обавести корисника, користио је још једну ману која је омогућила хакеру да побегне из Мицрософт Оффице Сандбок-а помоћу датотеке која користи знак $. Датотека је била .зип датотека, коју мацОС није проверио у односу на заштиту нотара која спречава кориснике да отворе датотеке које нису познатих програмера.
Демонстрација преузете датотеке Мицрософт Оффице-а са макроом који се користи за отварање Калкулатора.
Експлоатација је захтевала да се циљана особа пријави на свој Мац у два одвојена наврата, јер пријаве покрећу различите кораке у ланцу експлоатације, што чини мању вероватноћу да ће се то десити, али како Вордл каже, само једна особа треба да падне на то.
Мицрософт је рекао Вардлу да је открио да је „свака апликација, чак и када је заштићена, подложна злоупотреби ових АПИ-ја“ и да је у контакту са Аппле-ом да идентификује и реши проблеме када се појаве. Рањивости које је Вордл користио да покаже како се макрои могу злоупотребити, Аппле је одавно закрпио, али увек постоји шанса да би се сличан експлоат могао појавити касније.
Корисници Мац-а нису нерањиви на вирусе и требало би да буду опрезни када преузимају и отварају датотеке из непознатих извора, а понекад чак и из познатих извора. Најбоље је да се држите подаље од сумњивих Оффице датотека и других датотека које имају сумњиво порекло, чак и уз заштиту коју је Аппле уградио у мацОС.
Популар Постс