משתמשי macOS עלולים להיות ממוקדים בהתקפות זדוניות באמצעות קבצי Microsoft Office עם פקודות מאקרו מוטמעות, לפי פרטים על הניצול שתוקן כעת משותף היום על ידי חוקר האבטחה פטריק ורדל, שגם דיבר איתו לוח אם .
האקרים השתמשו זה מכבר בקבצי Office עם פקודות מאקרו מוטמעות בהם כדרך לקבל גישה למחשבי Windows, אבל הניצול אפשרי גם ב-macOS. לדברי ורדל, משתמש מקינטוש עלול להידבק רק על ידי פתיחת קובץ של Microsoft Office שיש בו מאקרו גרוע.
וורדל שיתף פוסט בבלוג על הניצול שהוא מצא לתמרן קבצי Office כדי להשפיע על מחשבי מקינטוש, אותו הוא מדגיש במהלך ועידת האבטחה המקוונת של Black Hat המקוונת.
אפל תיקנה את הניצול שבו השתמשה Wardle ב-macOS 10.15.3, כך שפגיעות מסוימת אינה זמינה יותר לשימוש האקרים, אך היא מציעה מבט מעניין על שיטת התקפה מתפתחת שנוכל לראות ממנה יותר בעתיד.
הפריצה של ורדל הייתה מסובכת וכללה מספר שלבים, אז מי שמעוניין בפרטים מלאים צריך לקרוא את הבלוג שלו , אבל בעצם הוא השתמש בקובץ Office עם פורמט .slk ישן כדי להפעיל פקודות מאקרו ב-macOS מבלי ליידע את המשתמש.
'חוקרי אבטחה אוהבים את פורמטי הקבצים העתיקים האלה כי הם נוצרו בתקופה שבה אף אחד לא חשב על אבטחה', אמר וורדל לוח אם .
לאחר שהשתמש בפורמט הקובץ המיושן כדי לגרום ל-macOS להפעיל מאקרו ב-Microsoft Office מבלי ליידע את המשתמש, הוא השתמש בפגם נוסף שנתן להאקר לברוח מארגז החול של Microsoft Office עם קובץ שמשתמש בסימן $. הקובץ היה קובץ .zip, ש-macOS לא בדקה מול ההגנות הנוטריוניות שמונעות ממשתמשים לפתוח קבצים שלא ממפתחים מוכרים.
הדגמה של קובץ Microsoft Office שהורדת עם מאקרו המשמש לפתיחת המחשבון.
הניצול דרש מהאדם המיועד להיכנס ל-Mac שלו בשתי הזדמנויות נפרדות מכיוון שכניסות מפעילות שלבים שונים בשרשרת הניצול, מה שמפחית את הסיכוי שזה יקרה, אבל כמו שוורדל אומר, רק אדם אחד צריך ליפול לזה.
מיקרוסופט אמרה ל-Wardle שהיא מצאה ש'כל אפליקציה, גם כשהיא בארגז חול, חשופה לשימוש לרעה בממשקי ה-API הללו', ושהיא בקשר עם אפל כדי לזהות ולתקן בעיות כשהן מתעוררות. הפגיעויות שבהן השתמש ורדל כדי להדגים כיצד ניתן לנצל פקודות מאקרו לרעה כבר מזמן תוקנה על ידי אפל, אבל תמיד יש סיכוי שניצול דומה יכול לצוץ מאוחר יותר.
משתמשי Mac אינם חשופים לווירוסים ועליהם לנקוט משנה זהירות בעת הורדה ופתיחה של קבצים ממקורות לא ידועים, ולפעמים, אפילו ממקורות ידועים. עדיף להתרחק מקבצי Office חשודים ומקבצים אחרים שיש להם מקורות מפוקפקים, אפילו עם ההגנות שאפל בנתה ב-macOS.
רשום פופולרי