Người dùng macOS có thể bị nhắm mục tiêu với các cuộc tấn công độc hại bằng cách sử dụng các tệp Microsoft Office có nhúng macro, theo chi tiết về khai thác hiện đã được khắc phục chia sẻ hôm nay bởi nhà nghiên cứu bảo mật Patrick Wardle, người cũng đã nói chuyện với Bo mạch chủ .
Tin tặc từ lâu đã sử dụng các tệp Office với macro được nhúng trong đó như một cách để truy cập vào máy tính Windows, nhưng việc khai thác cũng có thể xảy ra trên macOS. Theo Wardle, người dùng Mac có thể bị nhiễm virus chỉ khi mở tệp Microsoft Office có chứa macro xấu.
Wardle đã chia sẻ một bài đăng trên blog về cách khai thác mà anh ấy tìm thấy để thao túng các tệp Office nhằm tác động đến máy Mac, điều mà anh ấy nêu bật trong hội nghị bảo mật trực tuyến của Black Hat hôm nay.
Apple đã sửa lỗi khai thác mà Wardle sử dụng trong macOS 10.15.3, do đó lỗ hổng cụ thể đó không còn cho các tin tặc sử dụng nữa, nhưng nó cung cấp một cái nhìn thú vị về một phương thức tấn công mới nổi mà chúng ta có thể thấy nhiều hơn trong tương lai.
Cuộc tấn công của Wardle rất phức tạp và bao gồm nhiều bước, vì vậy những người quan tâm có thể xem chi tiết đầy đủ nên đọc blog của anh ấy , nhưng về cơ bản anh ta đã sử dụng tệp Office có định dạng .slk cũ để chạy macro trên macOS mà không cần thông báo cho người dùng.
'Các nhà nghiên cứu bảo mật yêu thích những định dạng tệp cổ xưa này vì chúng được tạo ra vào thời điểm mà không ai nghĩ đến bảo mật,' Wardle nói Bo mạch chủ .
Sau khi sử dụng định dạng tệp cũ để macOS chạy macro trong Microsoft Office mà không cho người dùng biết, anh ta đã sử dụng một lỗ hổng khác cho phép tin tặc thoát khỏi Microsoft Office Sandbox bằng tệp sử dụng dấu $. Tệp là tệp .zip, mà macOS đã không kiểm tra các biện pháp bảo vệ công chứng ngăn người dùng mở tệp không phải từ các nhà phát triển đã biết.
Trình diễn tệp Microsoft Office đã tải xuống với macro được sử dụng để mở Máy tính.
Việc khai thác yêu cầu người được nhắm mục tiêu đăng nhập vào máy Mac của họ trong hai trường hợp riêng biệt vì thông tin đăng nhập sẽ kích hoạt các bước khác nhau trong chuỗi khai thác, điều này làm cho nó ít có khả năng xảy ra hơn, nhưng như Wardle nói, chỉ cần một người yêu thích nó.
Microsoft nói với Wardle rằng họ đã phát hiện ra rằng 'bất kỳ ứng dụng nào, ngay cả khi được đóng hộp cát, đều dễ bị sử dụng sai các API này' và họ đang liên hệ với Apple để xác định và khắc phục các sự cố khi chúng phát sinh. Các lỗ hổng mà Wardle sử dụng để chứng minh cách các macro có thể bị lạm dụng đã được Apple vá từ lâu, nhưng luôn có khả năng một cách khai thác tương tự có thể xuất hiện sau đó.
Người dùng Mac không thể xâm phạm vi-rút và nên thận trọng khi tải xuống và mở tệp từ các nguồn không xác định, và đôi khi, thậm chí cả các nguồn đã biết. Tốt nhất bạn nên tránh xa các tệp Office đáng ngờ và các tệp khác có nguồn gốc mờ ám, ngay cả với các biện pháp bảo vệ mà Apple đã tích hợp trong macOS.
Bài ViếT Phổ BiếN