Хакеры используют Mac для взлома системы через Word

Microsoft раскрыла информацию о недостатке в macOS, который может позволить злоумышленникам удаленно запускать произвольный код. Уязвимость, отслеживаемая как CVE-2022-26706, позволяет обойти правила песочницы приложений macOS, позволяя запускать макросы в документах Word.

Хакеры используют Mac для взлома системы через Word. Фото: из архива компании

В течение многих лет макросы использовались злоумышленниками, чтобы заставить людей загружать вредоносное ПО на свои конечные точки. Microsoft даже решила отключить макросы для всех файлов за пределами доверенной сети и затруднить их включение обычным пользователем Word.

Теперь Microsoft предупреждает, что эту практику нужно использовать и на устройствах MacOS.

Из сообщения Microsoft:

«Несмотря на ограничения безопасности, налагаемые правилами App Sandbox для приложений, злоумышленники могут обойти указанные правила и позволить вредоносным кодам «выйти» из песочницы и выполнить произвольные команды на уязвимом устройстве».

Уязвимость была обнаружена исследовательской группой Microsoft 365 Defender и, как сообщается, исправлена Apple 16 мая.

App Sandbox — это встроенная в macOS технология, которая управляет контролем доступа к приложениям. Как следует из названия, его цель — сдержать любой потенциальный ущерб, который может нанести вредоносное приложение, и защитить конфиденциальные данные.

Проблема начинается с обратной совместимости Word. Чтобы убедиться, что это работает, приложение может читать или записывать файлы с рефиксом «~$». Используя службы запуска macOS для запуска команды open -stdin в специально созданном файле Python с этим префиксом, злоумышленник может обойти песочницу, пояснили в Microsoft.

Этот метод также позволяет злоумышленникам обходить «встроенные базовые функции безопасности» в macOS, в результате чего скомпрометированы как системные, так и пользовательские данные.

Microsoft опубликовала доказательство концепции, код которого настолько прост, что можно просто отправить файл Python с вышеупомянутым префиксом с произвольными командами.

Из сообщения Microsoft:

«Python успешно запускает наш код, и, поскольку это дочерний процесс запуска, он не привязан к правилам песочницы Word».

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме