Zranitelnosti v Microsoft aplikacích pro macOS mohou útočníkům poskytnout neomezený přístup

Zpět na blog

Odborníci na kybernetickou bezpečnost odhalili osm nových zranitelností v aplikacích Microsoftu pro macOS. Tyto slabiny by mohly útočníkům umožnit získat zvýšená oprávnění nebo přístup k citlivým datům, jelikož obcházejí model oprávnění operačního systému, který funguje na bázi rámce Transparency, Consent, and Control (TCC).

Pokud by útočník dokázal tyto zranitelnosti úspěšně využít, mohl by získat veškerá oprávnění, která uživatel postiženým aplikacím udělil. Podle společnosti Cisco Talos by to znamenalo například možnost odesílat e-maily, nahrávat audio, pořizovat fotografie nebo videa bez jakékoliv interakce uživatele.

Tyto zranitelnosti se týkají aplikací, jako jsou Outlook, Teams, Word, Excel, PowerPoint a OneNote. Útočníci by mohli do těchto aplikací vložit škodlivé knihovny, které by pak zneužily oprávnění udělená těmto aplikacím k získání citlivých informací.

Rámec TCC, vyvinutý společností Apple, zajišťuje, že aplikace na macOS mohou přistupovat k citlivým uživatelským datům pouze tehdy, pokud k tomu mají výslovné oprávnění uživatele. TCC spravuje tato oprávnění prostřednictvím šifrované databáze, která zaznamenává preference uživatelů pro jednotlivé aplikace.

TCC spolupracuje s funkcí sandboxingu aplikací, která omezuje přístup aplikací k systému a dalším nástrojům, čímž přidává další vrstvu zabezpečení. Sandboxing je také krokem proti injekci škodlivého kódu, což je praktika, která umožňuje vkládat škodlivý kód do běžících procesů aplikací.

Technika injekce knihoven, známá v macOS jako Dylib Hijacking, umožňuje útočníkům vkládat kód do běžícího procesu aplikace. I když macOS obsahuje ochranné mechanismy, jako je „hardened runtime“, které snižují riziko takových útoků, úspěšná injekce knihovny by útočníkovi umožnila využívat veškerá oprávnění udělená aplikaci.

Nicméně tento typ útoku vyžaduje, aby útočník měl nějaký přístup k napadenému zařízení. Poté by mohl otevřít aplikaci s vyššími oprávněními a vložit do ní škodlivou knihovnu, čímž by získal přístup k citlivým informacím bez vědomí uživatele.

Problém nastává v případě, kdy aplikace načítá knihovny z míst, která může útočník ovlivnit, a má povolenou volbu, která deaktivuje validaci knihoven (tj. je nastavena na true), což by jinak omezilo načítání knihoven pouze na ty, které byly podepsány vývojářem aplikace nebo společností Apple.

Podle Microsoftu jsou tyto problémy považovány za „nízké riziko“, ale přesto společnost vydala opravy pro aplikace OneNote a Teams. Microsoft uvedl, že problém spočívá ve způsobu, jakým aplikace načítají nepodepsané knihovny pro podporu pluginů.

Tento případ ukazuje, že i renomované aplikace mohou otevřít dveře pro nechtěné zneužití oprávnění, pokud nejsou náležitě chráněny.

Zdroj: The Hacker News

Zdroj ilustračního obrázku: Corinne Kutz on Unsplash

23. 9. 2024