Обнаружен способ обхода защиты Apple и Microsoft от вредоносных макросов

0

Уязвимости представляют собой так называемые zero-click, и для их эксплуатации не требуется участие жертвы.

Обнаружен способ обхода защиты Apple и Microsoft от вредоносных макросов


На конференции по информационной безопасности Black Hat 2020 специалист Патрик Уордл (Patrick Wardle) из компании Jamf рассказал о цепочке эксплоитов, позволяющей обойти защиту Microsoft от вредоносных макросов для заражения устройств под управлением macOS.

Уязвимости представляют собой так называемые zero-click, то есть, для их эксплуатации участие жертвы не требуется. Они позволяют злоумышленникам доставлять вредоносное ПО пользователям macOS с помощью документа Microsoft Office с макросами. Атака обходит меры безопасности, которые Microsoft и Apple приняли для защиты пользователей macOS от вредоносных макросов.

«Поскольку текущие основанные на макросах атаки неубедительны… я хотел модифицировать их с целью повысить осведомленность об этом векторе атаки, а также подчеркнуть, как легко может может ухудшиться ситуация. Я обнаружил способ побега из песочницы и обхода новых требований Apple по подтверждению подлинности, и объединил это с еще одной опасной уязвимостью, чтобы создать полную цепочку эксплоитов zero-click», — пояснил Уордл.

Первым шагом в цепочке эксплоитов была ранее обнаруженная опасная уязвимость (CVE-2019-1457) обхода безопасности в Microsoft Office. Уязвимость приводит к тому, что XML-макросы в формате файла символьной ссылки (SYLK) автоматически выполняются в Office 11 для Mac. Затем Уордл воспользовался побегом из песочницы, обнаруженным в середине 2018 года. Полный обход требований Apple о подтверждении подлинности Уордлу удалось осуществить путем злоупотребления приложением Archive Utility в macOS. Он использовал zip-архив для входа в систему ~/Library/~payload.zip, который был автоматически извлечен (вне изолированной программной среды) с помощью утилиты архивирования.

Если каталог LaunchAgent не существует (чего нет при установке macOS по умолчанию), он будет создан с новым агентом запуска внутри и будет автоматически выполняться на системе.

Уордл сообщил о своих находках Microsoft и Apple. Apple исправила проблемы в версии macOS 10.15.3, но сказала Уордлу, что «данная проблема не соответствует требованиям для присвоения идентификатора CVE». Microsoft сообщила Уордлу, что цепочка эксплоитов является проблемой «на стороне Apple».

Источник