Cisco обвиняет Microsoft: MS Office может шпионить на Mac

Команда Cisco Talos выявила8 уязвимостей в приложениях Microsoft для macOS, которые позволяют получить доступа к разрешениям и привилегиям, предоставленным определенным приложениям.

Недостатки позволяют злоумышленнику внедрять вредоносные библиотеки в приложения Microsoft, обходя модель безопасности macOS и используя уже существующие разрешения без уведомления пользователя.

Разрешения в macOS регулируют доступ приложений к таким ресурсам, как микрофон, камера, папки, запись экрана и другие. Если киберпреступник получает доступ к этим разрешениям, он может получить конфиденциальную информацию или даже повысить свои привилегии в системе. В случае успешной атаки злоумышленник может, например, отправлять письма от имени пользователя, а также записывать аудио или видео без его ведома.

Cisco Talos подробно описала, как можно использовать уязвимости, чтобы обойти модель безопасности macOS, которая основана на системе TCC (Transparency, Consent, and Control). TCC требует явного согласия пользователя на доступ к личным данным и системным ресурсам, что обеспечивает защиту от несанкционированного доступа.

Например, вредоносное ПО может использовать разрешения приложений Microsoft для выполнения несанкционированных действий. Несмотря на серьезность ситуации, Microsoft оценила проблемы как малозначительные и отказалась исправлять некоторые из них, заявив, что для поддержки плагинов некоторые приложения должны позволять загрузку неподписанных библиотек.

В ходе анализа Cisco Talos обнаружила следующие уязвимости, присвоив им идентификаторы и соответствующие CVE:

  • TALOS-2024-1972/ CVE-2024-42220 – Microsoft Outlook
  • TALOS-2024-1973/ CVE-2024-42004 – Microsoft Teams (работа или учеба)
  • TALOS-2024-1974/ CVE-2024-39804 – Microsoft PowerPoint
  • TALOS-2024-1975/ CVE-2024-41159 – Microsoft OneNote
  • TALOS-2024-1976/ CVE-2024-43106 – Microsoft Excel
  • TALOS-2024-1977/ CVE-2024-41165 – Microsoft Word
  • TALOS-2024-1990/ CVE-2024-41145 – Microsoft Teams (работа или учеба) в приложении WebView.app
  • TALOS-2024-1991/ CVE-2024-41138 – Microsoft Teams (работа или учеба) в вспомогательном приложении com.microsoft.teams2.modulehost.app

Особое внимание уделено тому, как выявленные проблемы, например, позволяют злоумышленнику внедрять библиотеки в процесс приложения, открывая возможность использовать все разрешения, которые были ранее предоставлены этому приложению. Другими словами, киберпреступник может выполнить любые действия, на которые уже было дано разрешение пользователем, без необходимости повторного запроса.

Хотя Apple предоставляет достаточно сильные меры защиты, включая обязательное подтверждение доступа к чувствительным данным, выявленные уязвимости показывают, что меры безопасности можно обойти.

Несмотря на то, что Microsoft отметила низкий риск данных уязвимостей, 4 из 8 приложений были устранены. Однако приложения Microsoft Excel, Outlook, PowerPoint и Word остаются уязвимы.

Cisco Talos подчеркивает важность внимательного отношения к вопросам безопасности, особенно в контексте использования сторонних плагинов. Данные уязвимости показывают, что даже относительно низкие риски могут стать серьезной угрозой, если их не учитывать должным образом. Поэтому компании, разрабатывающие ПО, должны принимать все меры для предотвращения потенциальных атак и защиты данных своих пользователей.

Устройства на базе macOS всё чаще становятся мишенью хакеров. Компания Intel 471 выявила более 40 хакерских группировок, проявляющих интерес к вредоносному ПО и эксплойтам для платформы Apple. С прошлого года как минимум 21 злоумышленник искал возможности приобрести малварь для macOS, причем некоторые из них интересовались услугами по распространению уже существующего вредоносного ПО. Столько же хакеров уже активно атакуют систему.

Public Release.