安全研究人员展示基于Office宏文件的macOS攻击

2020-08-06 10:20:30 topmold 8

安全研究人员 Patrick Wardle 刚刚在博客上介绍了一个已修复的漏洞详情,演示了基于嵌入宏的 Microsoft Office 文件,向 macOS 用户发起恶意攻击的方法。长期以来,许多人认为此类攻击仅限于 Windows 操作系统,但事实表明,macOS 平台也面临着同样的问题。Wardle 指出,仅仅是打开包含精心制作的宏操作的 Microsoft Office 文件,也可能导致 Mac 用户被感染。

安全研究人员展示基于Office宏文件的macOS攻击

(来自:Objective-See Blog)

Wardle 在今日于线上举办的 Black Hat 安全会议上强调了这个漏洞的危害性,庆幸的是,苹果已经在 macOS 10.15.3 中修复了相关漏洞。

Wardle 演示的攻击操作很是复杂,并且涉及多个步骤。即便如此,它还是为新兴的攻击方法提供了有趣的视角,未来或许会迎来更多偏门的 macOS 攻击。

本质上,他利用的还是老旧的 .slk 格式的 Office 宏文件,其能够在不通知用户的情况下,于 macOS 上运行宏操作。

Wardle 在接受 Motherboard 采访时称:“安全研究人员很喜欢这些古老的文件格式,因为它们是在无人考虑安全性的情况下创建的”。

安全研究人员展示基于Office宏文件的macOS攻击

在利用过时的文件格式让 macOS 在不通知用户的情况下于 Microsoft Office 中运行宏操作之后,Wardle 还利用了另一个漏洞,借助带有 $ 符号的文件、以从沙箱中逃逸。

由于下载的是一个 .zip 格式的文件,macOS 会疏于安全检查。根据正确的防御政策,苹果本该防止用户打开来自非已知开发者的文件。

为了触发漏洞利用链条中的不同步骤,其需要目标人员在两个不同的场景下登陆 Mac 。虽然最终中招的概率较小,但 Wardle 还是发出了他的警告。

微软指出,其已发现 ——“即使在沙箱中,任何应用程序都极易受到 API 被滥用的侵害”。为此,该公司已经与苹果取得了联系,以修复出现的问题。

最后,我们建议 Mac 用户保持良好的使用习惯。即使苹果已经在 macOS 中内置了一定的保护功能,我们仍需在下载和打开来自非信任 / 可疑来源的文件时提高警惕。

电话咨询
最新产品
官方商城
QQ客服