Исправленный эксплойт в версии Microsoft Office для macOS мог позволить злоумышленникам взломать пользователя Mac, просто заставив его открыть документ.
Эксплойт был разработан инженером по безопасности Jamf и бывшим хакером из АНБ Патриком Уордлом, который давно специализируется на взломе компьютеров Mac. Уордл продемонстрировал метод атаки на конференции по безопасности Black Hat 2020 в среду.
Как он объяснил в своем блоге, он использует макросы в Microsoft Office. Это старый метод взлома Windows, но макро-атаки, нацеленные на Mac, «набирают популярность и вошли в моду», — пишет Уордл.
Использование макросов, которые, по сути, представляют собой небольшие программы, встроенные в файлы, — лишь одна часть уравнения. Чтобы заставить эксплойт работать, Уордлу пришлось связать несколько других уязвимостей.
Создав файл в старом формате .slk, Уордл смог заставить Office запускать макросы без предупреждения пользователя. Добавление символа «$» в начало имени файла позволило Уордлу выйти из изолированной программной среды macOS. Наконец, Уордл заархивировал файл в формате .zip, который macOS не проверяет на соответствие требованиям нотариального заверения.
Атака сложна, но хорошо иллюстрирует способ мышления злоумышленника. Используя множество уязвимостей и приемов, Уордл смог создать эксплойт, который требовал от пользователей только двойного щелчка по документу Word.
Уордл отмечает, что пользователю по-прежнему необходимо аутентифицировать некоторые действия, войдя в систему. Но если пользователь действительно аутентифицирует его, злоумышленник может установить бэкдоры или другие вредоносные файлы, открывая дверь для дальнейших атак.
К счастью для пользователей Mac, уязвимости, которыми воспользовался Уордл, были исправлены в последней версии Office для Mac и macOS 10.15.3. Тем не менее, учитывая рост числа атак на основе макросов, вполне вероятно, что подобные уязвимости могут обнаружиться в будущем.
Уордл предупредил Microsoft и Apple о недостатках, но сказал Motherboard, что последняя не ответила на его отчет.
Apple открыла программу вознаграждения за ошибки для macOS в 2019 году, но Уордл сказал Motherboard, что никогда не получал от компании денег за обнаруженные им эксплойты или уязвимости.