思科网络安全团队 Talos 在 Microsoft Office for Mac 中发现 8 个安全漏洞,攻击者借助漏洞可以从用户设备录制视频和音频、访问敏感数据、记录用户输入的内容以及提升操作权限等。
这些漏洞位于 Excel、OneNote、Outlook、PowerPoint、Microsoft Teams、Word 中,不过微软已经明确告知思科不会修复这些漏洞。
下面是漏洞编号及组件名称:
- CVE-2024-42220 (Outlook)CVE-2024-42004 (Teams – work or school) (主程序)CVE-2024-39804 (PowerPoint)CVE-2024-41159 (OneNote)CVE-2024-43106 (Excel)CVE-2024-41165 (Word)CVE-2024-41145 (Teams – work or school) (WebView.app helper app)CVE-2024-41138 (Teams – work or school) (com.microsoft.teams2.modulehost.app)
为什么微软不愿意修复这些漏洞呢?微软安全团队经过分析后认为这些问题的风险非常低,即应用程序需要允许加载未签名的库来支持插件,利用难度更大。
苹果的安全模型是基于权限的,依赖于透明度、同意和控制框架 (即 TCC 框架),对于熟练使用 macOS 的用户来说应该比较熟悉这个框架,即每次进行敏感操作时系统会弹出提示。
TCC 框架也是被苹果控制的,苹果允许部分开发商选择他们需要启用的授权,但即便如此在实际调用权限例如进行麦克风录制时,系统也会弹出提醒要求用户同意或拒绝。
此外苹果还通过多种方式加强安全策略,例如强化 Runtime,该策略可以阻止未经苹果授权的软件库运行,也会阻止攻击者通过受新人的应用程序执行代码。
Office 的问题在于微软是少数获得苹果授权可以禁用苹果强化 Runtime 的开发商,Office 就可以禁用库验证功能,攻击者可以在某些特定情况下通过组合软件之间的漏洞加载不受信任的库。
目前的争议在于如果要想通过 Office 发起攻击首先需要搞定 Office 插件,思科安全研究人员认为苹果就不应该开放第三方开发商可以禁用强化保护并且运行第三方插件,即苹果应该强制对所有库进行验证。
思科也没有提供此类攻击的实际操作案例,这至少可以说明暂时还没有黑客利用这种漏洞发起攻击。
最后微软虽然说了这个风险很低拒绝修复,但其实也更新了 Microsoft Teams 和 OneNote 封堵了通过库注入的风险,但 Office 其他组件并未更新。
