广泛使用的 Microsoft macOS 应用程序容易受到库注入攻击,这些攻击让攻击者使用应用程序的权利来绕过 macOS 严格的基于权限的安全模型和控制。攻击者可以滥用易受攻击的应用程序来执行各种恶意操作,例如从用户帐户秘密发送电子邮件或录制音频和视频剪辑,而无需用户知情且无需任何用户交互。思科 Talos 的研究人员最近在 研究 Apple 的透明度、同意和控制 (TCC) 框架的可利用性时发现了这些问题,该框架用于管理和执行 macOS 系统上用户数据和各种系统服务的隐私设置。TCC 的核心功能之一是控制应用程序对敏感用户数据以及摄像头、麦克风、联系人、日历和位置服务等系统功能的访问。易受攻击的应用程序思科 Talos 研究人员发现,适用于 macOS 的八个主要 Microsoft 应用程序(Outlook、Teams、PowerPoint、OneNote、Excel、Word 和其他两个与 Teams 相关的组件)允许攻击者将恶意库注入应用程序的运行进程中。“该库可以使用已经授予该过程的所有权限,有效地代表应用程序本身运行,”思科Talos在本周的一份报告中表示。Cisco Talos 发现的问题与 Microsoft 决定禁用应用程序中的库验证功能有关,以便允许加载第三方插件。“权限规定应用程序是否可以访问麦克风、摄像头、文件夹、屏幕录制、用户输入等资源。因此,如果攻击者要访问这些信息,他们可能会泄露敏感信息,或者在最坏的情况下,升级特权,“研究人员说。Cisco Talos 已针对 8 个适用于 macOS 的 Microsoft 应用中的已禁用库验证问题发布了 8 个单独的 CVE。Microsoft没有立即回应Dark Reading的置评请求。但是,根据思科Talos的说法,Microsoft已将该问题描述为低严重性威胁,并表示不会为他们发布任何修复程序。即便如此,Microsoft在收到问题通知后似乎已经更新了受影响的Teams和OneNote应用程序,思科Talos说。但这家安全供应商表示,Microsoft的四款macOS应用程序——Excel、Outlook、PowerPoint和Word仍然容易受到攻击。苹果的TCC遭到破坏Sectigo 产品高级副总裁 Jason Soroko 表示,Microsoft 决定将问题归类为低严重性并选择不发布修复程序,这具有潜在风险。Soroko说:“如果攻击者利用这些漏洞未经授权访问摄像头或麦克风等敏感设备功能,这种方法忽略了危害。“通过淡化威胁,Microsoft有可能低估攻击者的聪明才智,他们甚至可以以创造性和破坏性的方式将’低严重性’的漏洞武器化。思科 Talos 本身将 Microsoft 应用程序描述为破坏了 Apple TCC 框架的安全和隐私保护。与大多数其他默认情况下依赖于所谓的自由访问控制的操作系统不同,TCC 更进一步,要求应用程序在寻求访问某些内容和服务(例如联系人、日历、照片以及访问麦克风和摄像头)时获得明确的用户权限。TCC还支持一项功能,该功能专门防止代码和库注入到应用程序的运行进程中。思科Talos表示,通过禁用库验证,Microsoft基本上为攻击者提供了一个机会,可以绕过保护措施进行终结运行,并将任意库潜入应用程序的运行进程中。索罗科说,利用这个问题的难易程度各不相同。“虽然库注入攻击需要技术技能,但这些漏洞存在于 Teams 和 Outlook 等广泛使用的应用程序中这一事实增加了风险状况。具有足够知识的攻击者可以利用这些漏洞,尤其是在安全实践宽松的环境中。他建议组织审查并收紧应用程序权限,并实施对异常活动的监控。
