Вразливість у програмах Microsoft дозволила хакерам шпигувати за користувачами Mac

Вразливість, виявлена в додатках Microsoft для macOS, дозволяла хакерам шпигувати за користувачами Mac. Дослідники з безпеки компанії Cisco Talos повідомили в своєму блозі, як ця уразливість могла бути використана зловмисниками і що робить Microsoft для усунення цих експлойтів.

Хакери можуть використовувати додатки Microsoft для доступу до камер та мікрофонів користувачів Mac

Талос Циско, група з кібербезпеки, яка спеціалізується на зловмисному програмному забезпеченні та запобіганні системним атакам, поділилася деталями про те, як уразливість у додатках, таких як Microsoft Outlook та Teams, може дозволити зловмисникам отримати доступ до мікрофону та камери Mac без згоди користувача. Атака базується на впровадженні шкідливих бібліотек у додатки Microsoft для отримання їхніх прав та дозволів, наданих користувачем.

macOS від Apple має фреймворк під назвою Прозорість, Згода та Контроль (TCC), який керує дозволами додатків на доступ до таких речей, як служби геолокації, камера, мікрофон, бібліотека фотографій та інші файли.

Кожному додатку потрібно мати дозвіл, щоб запросити права у TCC. Додатки без цих дозволів навіть не будуть запитувати права, а отже, не матимуть доступу до камери та інших частин комп'ютера. Однак експлойт дозволяв шкідливому програмному забезпеченню використовувати дозволи, надані додаткам Microsoft.

«Ми виявили вісім уразливостей у різних додатках Microsoft для macOS, через які зловмисник міг обходити модель дозволів операційної системи, використовуючи наявні дозволи додатків без жодних додаткових перевірок з боку користувача», - пояснюють дослідники.

Наприклад, хакер міг створити шкідливе програмне забезпечення для запису аудіо з мікрофона або навіть робити фото без будь-якої взаємодії з користувачем. «Усі додатки, крім Excel, мають можливість записувати аудіо, деякі навіть можуть отримати доступ до камери», - додає група.

Microsoft працює над виправленням – але це не здається пріоритетом

Згідно з даними Cisco Talos, Microsoft вважає цей експлойт “низьким ризиком”, оскільки він залежить від завантаження непідписаних бібліотек для підтримки сторонніх плагінів.

Після того, як було повідомлено про експлойти, Microsoft оновила додатки Microsoft Teams та OneNote для macOS, внісши зміни до того, як ці додатки обробляють право на валідацію бібліотеки. Проте програми Excel, PowerPoint, Word та Outlook все ще вразливі до експлойту.

Дослідники ставлять питання, чому Microsoft необхідно було вимикати валідацію бібліотек, особливо якщо очікується, що додаткові бібліотеки не будуть завантажуватися. “Використовуючи це право, Microsoft обходить захист, запропонований зміцненим runtime, потенційно піддаючи своїх користувачів непотрібним ризикам.”

Одночасно дослідники зазначають, що Apple також могла б внести зміни до TCC, щоб зробити систему більш безпечною. Група пропонує, щоб система запитувала користувачів при завантаженні сторонніх плагінів у додатки, які вже отримали дозволи.

Детальнішу інформацію про цей експлойт можна знайти на блозі Cisco Talos.