Odkryto lukę w zabezpieczeniach aplikacji firmy Microsoft dla systemu macOS, która umożliwiła hakerom szpiegowanie Prochowiec użytkownicy. Badacze bezpieczeństwa z Cisco Talos poinformowali w poście na blogu, w jaki sposób luka może zostać wykorzystana przez atakujących i co Microsoft robi, aby naprawić exploity.
Hakerzy mogą używać aplikacji firmy Microsoft, aby uzyskać dostęp do kamer i mikrofonów użytkowników komputerów Mac
Cisco Talos, grupa cyberbezpieczeństwa specjalizująca się w zapobieganiu złośliwemu oprogramowaniu i systemom, udostępniła szczegóły dotyczące tego, w jaki sposób luka w aplikacjach, takich jak Microsoft Outlook i Teams, może umożliwić atakującym dostęp do mikrofonu i kamery Maca bez zgody użytkownika. Atak polega na wstrzykiwaniu złośliwych bibliotek do aplikacji Microsoft w celu uzyskania uprawnień i uprawnień przyznanych przez użytkownika.
System operacyjny macOS firmy Apple ma strukturę znaną jako Przejrzystość Zgoda i Kontrola (TCC)który zarządza uprawnieniami aplikacji do dostępu do takich rzeczy, jak usługi lokalizacyjne, aparat, mikrofon, zdjęcia z biblioteki i inne pliki.
Każda aplikacja potrzebuje uprawnienia do żądania uprawnień od TCC. Aplikacje bez tych uprawnień choćby nie będą prosić o uprawnienia, a w konsekwencji nie będą miały dostępu do aparatu i innych części komputera. Jednak exploit pozwolił złośliwemu oprogramowaniu na korzystanie z uprawnień przyznanych aplikacjom Microsoft.
„Zidentyfikowaliśmy osiem luk w różnych aplikacjach firmy Microsoft dla systemu macOS, dzięki którym atakujący może ominąć model uprawnień systemu operacyjnego, wykorzystując istniejące uprawnienia aplikacji, bez konieczności proszenia użytkownika o dodatkową weryfikację” – wyjaśniają badacze.
Na przykład haker może stworzyć złośliwe oprogramowanie do nagrywania dźwięku z mikrofonu lub choćby robienia zdjęć bez żadnej interakcji użytkownika. „Wszystkie aplikacje, z wyjątkiem Excela, mają możliwość nagrywania dźwięku, niektóre mogą choćby uzyskać dostęp do aparatu” — dodaje grupa.
Microsoft pracuje nad rozwiązaniem problemu – ale nie wydaje się to być priorytetem
Według Cisco Talos, Microsoft uważa, iż ten exploit niesie ze sobą „niskie ryzyko”, ponieważ opiera się na ładowaniu niepodpisanych bibliotek w celu obsługi wtyczek innych firm.
Po zgłoszeniu exploitów firma Microsoft zaktualizowała aplikacje Microsoft Teams i OneNote dla systemu macOS, wprowadzając zmiany w sposobie obsługi uprawnień do walidacji bibliotek. Jednak aplikacje Excel, PowerPoint, Word i Outlook przez cały czas są podatne na exploit.
Badacze zastanawiają się, dlaczego Microsoft musiał wyłączyć walidację bibliotek, zwłaszcza gdy nie oczekuje się załadowania dodatkowych bibliotek. „Korzystając z tego uprawnienia, Microsoft obchodzi zabezpieczenia oferowane przez utwardzone środowisko wykonawcze, potencjalnie narażając swoich użytkowników na niepotrzebne ryzyko”.
Jednocześnie badacze zauważają, iż Apple może również wprowadzić zmiany w TCC, aby uczynić system bardziej bezpiecznym. Grupa sugeruje, aby system wyświetlał użytkownikom monit podczas ładowania wtyczek innych firm do aplikacji, które już udzieliły uprawnień.
Więcej szczegółów na temat exploita można znaleźć na stronie Cisco Talos blog.
Przeczytaj także
FTC: Używamy linków afiliacyjnych generujących dochód. Więcej.
