Mac恶意软件可能会通过一个Microsoft Office文件接管您的笔记本电脑

您通常不会想到Mac容易受到Microsoft安全漏洞的影响,但这正是macOS 10.15 Catalina中的弱点似乎已经发生的情况。

帕特里克·沃德因在过去十年中发现Mac中的几个严重漏洞而闻名(或臭名昭著),他在8月4日的博客文章中解释说,远程黑客只需让用户打开一个诱饵诱骗的Microsoft Office即可完全控制Mac。文件。

研究人员称,严重的Mac安全漏洞仍未为Apple修补,这是让Apple保持最佳状态的最佳Mac防病毒软件最新: MacBook Pro泄漏证实了彻底的重新设计

黑客要求合法用户两次登录系统才能正常工作,但正如Wardle所言 副主板,但这并不会降低其效果。

沃德尔对副总统说:“人类不耐烦。” “利用不一定是。”

Wardle于2019年11月向Apple和Microsoft都警告了这种攻击方法,该方法将两家公司软件的漏洞利用联系在一起。

微软在当月修复了自己的缺陷,苹果的Mac缺陷于2020年1月发布了macOS 10.15.3 Catalina,从而得到了修补。(沃德表示,他在Mac上没有得到苹果的认可 macOS Catalina 10.15.3发行说明 直到他“面对”公司为止。)

Wardle计划进一步证明并详细说明他的攻击方法 在Black Hat安全会议上的虚拟演示 8月5日。

汤姆指南(Tom’s Guide)向苹果公司征求意见,我们被告知上面链接的macOS Catalina发行说明。

工具链

Wardle的黑客程序将多个漏洞的利用联系在一起,其中最重要的是一个普通的旧版Office宏,这是一个简单的脚本,可以自动执行任务以方便用户。

“尽管此类攻击越来越流行,但当前的攻击(仍然)相当la脚!”摇篮 在他的博客文章中写道。 “但是,通过一点点创造力,我们说明事情可能会令人担忧。[e]!!”

众所周知,宏是Windows的安全隐患,而Mac则不然。默认情况下,两个平台上的Microsoft Office均以“安全模式”打开从Internet下载的文件,这样宏就不会自动运行,并在每次打开文档时提示用户授权宏。

Wardle指出,在Mac上,Office应用程序是“沙盒”的,因此恶意软件很难逃脱来影响其他应用程序。此外,macOS 10.15 Catalina会检查所有软件的“公证”并隔离所有可疑内容。

偷偷摸摸地越过保障措施

但是Wardle的漏洞利用链却被所有这些保护措施所遗漏。

“我们可以轻松地自动执行宏,而无需用户批准,而无需使用Microsoft Office沙箱 [and] 他写道:“绕过苹果公司新的公证要求。最终结果?永久安装在(完全修补的)macOS系统上的恶意(未签名)macOS后门!”

Wardle首先使用Sylk文件或符号链接文件,该文件是1980年代的一种古老文件格式,用于将数据从一个Office应用程序移植到另一个Office应用程序。

Microsoft仍然支持Sylk,即使去年秋天有两位研究人员发现您可以使用Sylk文件在未经用户许可的情况下强制Mac上的Office运行宏,然后这些宏可以下载并运行恶意软件。

即使那样,恶意Sylk宏所做的任何事情(包括恶意软件安装)仍将限制在Office沙箱中,并且不会影响Mac的其余部分。

万能的美元符号

为了克服这一障碍,Wardle使用了另一个已知的缺陷:如果在Microsoft Office文件名称的开头放置“ $”字符(美元符号),则可以将该文件保存在Mac上的任何位置,甚至不在Office沙箱外部。

您可以执行此操作以在Mac上安装宏恶意软件。但这将是暂时的,并且在下次系统重新启动时无法幸免,因为Microsoft确保您无法使用“ $”解决方法来创建在系统启动时启动的文件。

到目前为止,这些都是微软的缺陷,而不是苹果的缺陷。然后Wardle发现他可以使用Office沙箱转义来创建macOS登录项,该项在系统启动时会弹出终端登录提示,所有这些都在Office沙箱外部。

Wardle写道:“可以从沙箱中创建登录项目的事实似乎是macOS中的一个问题(即,这是一个Apple错误)。”

欺骗macOS做您的肮脏工作

尽管如此,MacOS 10.15 Catalina仍会在未经检查确保被Apple“公证”的情况下运行随机软件。因此Wardle的恶意软件必须看起来像是合法的。

他发现,如果恶意的Office宏创建了一个压缩的.zip文件,其名称以“ $”开头,并将其指定为登录项以在系统启动时运行,则macOS自己的Archive Utility将在下一个压缩文件中自动解压缩该文件。用户登录的时间。

因为macOS将检查Archive Utility的凭据,而不是.zip文件,所以此文件解压缩将通过安全气味测试。

然后,未压缩的.zip文件将创建另一个文件集,以在系统启动时运行,这可能是恶意软件。下次登录时,恶意软件将运行,并且攻击者可以完全拥有Mac。

“随着[n] 能够创建启动代理(将启动交互式远程外壳)的功能,游戏就结束了,” Wardle写道。

作为概念验证,Wardle说他能够使用此漏洞利用链在Mac上安装一个臭名昭著的“下载器”恶意软件。

没有错误赏金给您

尽管有苹果的漏洞赏金计划,但沃德尔认为他不会从苹果那里得到任何金钱,因为他们发现了这些缺陷并将其透露给库比蒂诺。苹果已经宣布这些缺陷将不合格。

“我仍然从苹果那里得到零点零美元,”沃德尔告诉《副新闻》。 “所以,你知道的,也许其中有一个条款就像’没有钱给帕特里克’一样,这很好。”

今日最佳Mac版Bitdefender Antivirus交易BitdefenderTechradar 35%优惠35%优惠Mac版Bitdefender防病毒软件$ 59.99$ 29.99每年比特卫士