在适用于 macOS 的 Microsoft 应用程序中发现了八个漏洞,攻击者可以利用这些漏洞通过绕过操作系统基于权限的模型(围绕透明度、同意和控制 (TCC) 框架)来获得提升的权限或访问敏感数据。
“如果成功,攻击者可以获得已授予受影响的 Microsoft 应用程序的任何权限,”思科 Talos 说。“例如,攻击者可以在用户不注意的情况下从用户帐户发送电子邮件、录制音频剪辑、拍照或录制视频,而无需任何用户交互。”
缺点涵盖各种应用程序,例如 Outlook、Teams、Word、Excel、PowerPoint 和 OneNote。
这家网络安全公司表示,恶意库可以注入这些应用程序并获得其权利和用户授予的权限,然后根据授予每个应用程序的访问权限,这些库可以被武器化以提取敏感信息。
TCC 是由 Apple 开发的一个框架,用于管理对 macOS 上敏感用户数据的访问,使用户能够更加透明地了解计算机上安装的不同应用程序如何访问和使用他们的数据。
这是以加密数据库的形式维护的,该数据库记录了用户授予每个应用程序的权限,以确保在整个系统中一致地执行首选项。
“TCC 与 macOS 和 iOS 中的应用程序沙箱功能结合使用,”Huntress 在其 TCC 解释器中指出。“沙盒限制了应用程序对系统和其他应用程序的访问,增加了额外的安全层。TCC 确保应用程序只能访问已获得用户明确同意的数据。
沙箱也是一种防止代码注入的对策,代码注入使有权访问计算机的攻击者能够将恶意代码插入合法进程并访问受保护的数据。
“库注入,在 macOS 上下文中也称为 Dylib 劫持,是一种将代码插入到应用程序的运行进程中的技术,”Talos 研究员 Francesco Benvenuto 说。“macOS 通过强化运行时等功能来应对这种威胁,从而降低了攻击者通过另一个应用程序的进程执行任意代码的可能性。”
“但是,如果攻击者设法将库注入正在运行的应用程序的进程空间,则该库可以使用已授予该进程的所有权限,从而有效地代表应用程序本身进行操作。”
然而,值得注意的是,此类攻击要求威胁行为者已经对受感染的主机具有一定级别的访问权限,以便它可以被滥用以打开特权更高的应用程序并注入恶意库,本质上是授予他们与被利用的应用程序相关的权限。
换句话说,如果受信任的应用程序被攻击者渗透,它可能会被用来滥用其权限,并在未经用户同意或不知情的情况下获得对敏感信息的无端访问。
当应用程序从攻击者可能操纵的位置加载库,并且它通过有风险的权利(即设置为 true)禁用了库验证时,可能会发生此类违规行为,否则会将库的加载限制为由应用程序开发人员或 Apple 签名的库。
“macOS 相信应用程序可以自我监管其权限,”Benvenuto 指出。“未能履行这一责任会导致整个权限模型被破坏,应用程序无意中充当了未经授权操作的代理,绕过了 TCC 并破坏了系统的安全模型。”
Microsoft 则认为已发现的问题是“低风险”的,并且应用程序需要加载未签名的库才能支持插件。但是,该公司已介入以解决其 OneNote 和 Teams 应用程序中的问题。
Benvenuto 说:“易受攻击的应用程序为攻击者利用所有应用程序的权利敞开了大门,并且在没有任何用户提示的情况下,重复使用已授予应用程序的所有权限,有效地充当了攻击者的权限代理。
“同样重要的是要提到,目前尚不清楚如何在 macOS 的当前框架中安全地处理此类插件。第三方插件的公证是一种选择,尽管很复杂,但它需要 Microsoft 或 Apple 在验证第三方模块的安全性后对其进行签名。
|
感谢您花时间阅读我们提供的这篇文章。我们非常重视您的时间和精力,并深知信息对您的重要性。 我们希望了解您对这篇文章的看法和感受。我们真诚地想知道您是否认为这篇文章为您带来了有价值的资讯和启示,是否有助于您的个人或职业发展。 如果您认为这篇文章对您非常有价值,并且希望获得更多的相关资讯和服务,我们愿意为您提供进一步的定制化服务。请通过填写我们提供的在线表单,与我们联系并提供您的邮箱地址或其他联系方式。我们将定期向您发送相关资讯和更新,以帮助您更好地了解我们的服务和文章内容。  |
END
原文始发于微信公众号(信息安全大事件):Microsoft macOS 应用程序中的新缺陷可能允许黑客获得不受限制的访问权限
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论