Los usuarios de macOS podrían ser blanco de ataques maliciosos utilizando archivos de Microsoft Office que tienen macros incrustadas, según los detalles del exploit ahora corregido. compartido hoy por el investigador de seguridad Patrick Wardle, quien también habló con tarjeta madre .
Los piratas informáticos han utilizado durante mucho tiempo archivos de Office con macros incrustados en ellos como una forma de obtener acceso a las computadoras con Windows, pero el exploit también es posible en macOS. Según Wardle, un usuario de Mac podría infectarse con solo abrir un archivo de Microsoft Office que contenga una macro incorrecta.
Wardle compartió una publicación de blog sobre el exploit que encontró para manipular archivos de Office para impactar Macs, que él destacó durante la conferencia de seguridad en línea de Black Hat de hoy.
Apple corrigió el exploit que Wardle usó en macOS 10.15.3, por lo que esa vulnerabilidad particular ya no está disponible para que la usen los piratas informáticos, pero ofrece una mirada interesante a un método de ataque emergente que podríamos ver más en el futuro.
El truco de Wardle fue complicado e involucró varios pasos, por lo que aquellos interesados en todos los detalles debería leer su blog , pero básicamente usó un archivo de Office con un antiguo formato .slk para ejecutar macros en macOS sin informar al usuario.
'Los investigadores de seguridad adoran estos formatos de archivo antiguos porque fueron creados en un momento en que nadie pensaba en la seguridad', dijo Wardle. tarjeta madre .
Después de usar el formato de archivo anticuado para que macOS ejecute una macro en Microsoft Office sin que el usuario lo sepa, usó otra falla que le permitió a un pirata informático escapar del entorno de pruebas de Microsoft Office con un archivo que usa un signo $. El archivo era un archivo .zip, que macOS no verificó con las protecciones de notarización que impiden que los usuarios abran archivos que no sean de desarrolladores conocidos.
Una demostración de un archivo de Microsoft Office descargado con una macro que se utiliza para abrir la Calculadora.
El exploit requirió que la persona objetivo iniciara sesión en su Mac en dos ocasiones separadas, ya que los inicios de sesión desencadenan diferentes pasos en la cadena del exploit, lo que hace que sea menos probable que suceda, pero como dice Wardle, solo una persona debe caer en la trampa.
Microsoft le dijo a Wardle que ha descubierto que 'cualquier aplicación, incluso cuando está en un espacio aislado, es vulnerable al uso indebido de estas API' y que está en contacto con Apple para identificar y solucionar problemas a medida que surgen. Las vulnerabilidades que Wardle usó para demostrar cómo se puede abusar de las macros han sido parcheadas por Apple desde hace mucho tiempo, pero siempre existe la posibilidad de que una vulnerabilidad similar pueda aparecer más tarde.
Los usuarios de Mac no son invulnerables a los virus y deben tener cuidado al descargar y abrir archivos de fuentes desconocidas y, a veces, incluso de fuentes conocidas. Es mejor mantenerse alejado de los archivos sospechosos de Office y otros archivos que tienen orígenes turbios, incluso con las protecciones que Apple ha integrado en macOS.
Entradas Populares