今天的線上全球頂級安全大會 Black Hat 上,安全研究人員 Patrick Wardle 演示了一種 macOS 用戶使用嵌入宏的 Microsoft Office 文件遭到惡意攻擊的情況。這種漏洞可以向 macOS 用戶發起惡意攻擊,甚至可能導致黑客控制整個被入侵的 Mac。
長期以來,黑客一直使用嵌入宏的 Office 文件作為訪問 Windows 計算機的一種方式,Patrick Wardle 證明了這種攻擊在 macOS 上也是可能的。根據他的說法,Mac 用戶只要打開一個包含該漏洞的 Microsoft Office 文件就可能受到攻擊。
Microsoft Office 漏洞可控制 macOS
Patrick Wardle 在自己的博客上分享了他發現的利用 Office 文件影響macOS 的漏洞,在今天的 Black Hat 會議上,他再次強調了這個漏洞。
目前,蘋果已經修復了 Patrick Wardle 發現的,在macOS 10.15.3中出現的漏洞,該漏洞已經不能為黑客所用。但它提供了一個有趣的視角,讓我們看到了一個新興的攻擊方法。
Patrick Wardle 在博客中介紹了黑客攻擊的詳細步驟,概括來說就是使用了一個老舊的 .slk 格式的 Office 宏文件,能夠在不通知用戶的情況下,在 macOS 上運行。
Patrick Wardle 說:「安全研究人員很喜歡研究這些古老的文件格式,因為它們是在沒有人考慮安全問題的時候創建的。」
即使在沙箱中,App 也會受到 API 濫用威脅
在利用過時的文件格式讓 macOS 在不通知用戶的情況下於 Microsoft Office 中運行宏操作之後,Patrick Wardle 還使用了另一個漏洞,通過帶有 $ 符號的文件、以從沙箱中逃逸。這個文件是一個 .zip 格式的文件,macOS 不會進行公證檢查,也不會阻止用戶打開這個來自未知開發者的文件。
這個漏洞要求目標用戶在兩個不同的場景下登陸 Mac,從而出發漏洞鏈中的不同步驟。這樣會使漏洞發生的可能降低,但仍會有不清楚風險的用戶允許這樣的操作。
安裝來源不明的文件時,系統會彈出警告,但許多用戶並不會真正仔細閱讀風險警告,而是為了跳過對話窗口而選擇「已閱讀」。
這無形中就會增加計算機被漏洞攻擊的可能。雖然該漏洞已被修復,但它仍有可能影響部分用戶。