Уязвимость, обнаруженная в приложениях Microsoft для macOS, позволила хакерам шпионить за пользователями Mac. Исследователи безопасности из Cisco Talos сообщили в своем блоге, как уязвимость может быть использована злоумышленниками и что Microsoft делает для устранения эксплойтов.
Хакеры могут использовать приложения Microsoft для доступа к камерам и микрофонам пользователей Mac
Cisco Talos, группа по кибербезопасности, специализирующаяся на вредоносном ПО и профилактике систем, поделилась подробностями о том, как уязвимость в таких приложениях, как Microsoft Outlook и Teams, может привести к тому, что злоумышленники получат доступ к микрофону и камере Mac без согласия пользователя. Атака основана на внедрении вредоносных библиотек в приложения Microsoft для получения их прав и разрешений, предоставленных пользователем.
В macOS от Apple есть фреймворк, известный как Transparency Consent and Control (TCC), который управляет разрешениями приложений на доступ к таким вещам, как службы определения местоположения, камера, микрофон, фотографии из библиотеки и другие файлы.
Каждому приложению необходимо право на запрос разрешений от TCC. Приложения без этих прав даже не будут запрашивать разрешения и, следовательно, не будут иметь доступа к камере и другим частям компьютера. Однако эксплойт позволил вредоносному ПО использовать разрешения, предоставленные приложениям Microsoft.
«Мы выявили восемь уязвимостей в различных приложениях Microsoft для macOS, с помощью которых злоумышленник может обойти модель разрешений операционной системы, используя существующие разрешения приложений, не запрашивая у пользователя никакой дополнительной проверки», — поясняют исследователи.
Например, хакер может создать вредоносное ПО для записи звука с микрофона или даже для фотосъемки без какого-либо взаимодействия с пользователем. «Все приложения, за исключением Excel, имеют возможность записывать звук, некоторые даже могут получить доступ к камере», — добавляет группа.
Microsoft работает над исправлением, но, похоже, это не является приоритетом.
По данным Cisco Talos, Microsoft считает этот эксплойт «низкорискованным», поскольку он использует загрузку неподписанных библиотек для поддержки сторонних плагинов.
После того, как об эксплойтах стало известно, Microsoft обновила приложения Microsoft Teams и OneNote для macOS, изменив то, как эти приложения обрабатывают право на проверку библиотеки. Однако Excel, PowerPoint, Word и Outlook по-прежнему уязвимы для эксплойта.
Исследователи задаются вопросом, почему у Microsoft возникла необходимость отключить проверку библиотек, особенно когда не ожидается загрузка дополнительных библиотек. «Используя это право, Microsoft обходит меры безопасности, предлагаемые защищенной средой выполнения, потенциально подвергая своих пользователей ненужным рискам».
В то же время исследователи отмечают, что Apple также может внести изменения в TCC, чтобы сделать систему более безопасной. Группа предполагает, что система должна запрашивать у пользователей подтверждение при загрузке сторонних плагинов в приложения, которым уже предоставлены разрешения.
Более подробную информацию об эксплойте можно найти на сайте Cisco Талос блог.