根據(jù) Cisco Talos 的最新研究，macOS 上的八個(gè)微軟應(yīng)用程序容易受到庫(kù)注入攻擊，有可能讓攻擊者劫持應(yīng)用程序的權(quán)限并泄露敏感數(shù)據(jù)。

受影響的微軟應(yīng)用程序包括 Microsoft Teams、Outlook、PowerPoint 和 Word 等流行服務(wù)，共有八個(gè) CVE 編號(hào)。

• Microsoft Outlook: CVE-2024-42220
• Microsoft Teams (work or school): CVE-2024-42004
• Microsoft PowerPoint: CVE-2024-39804
• Microsoft OneNote: CVE-2024-41159
• Microsoft Excel: CVE-2024-43106
• Microsoft Word: CVE-2024-41165
• Microsoft Teams (work or school) WebView.app helper app: CVE-2024-41145
• Microsoft Teams (work or school) com.microsoft.teams2.modulehost.app: CVE-2024-41138

攻擊者通過使用現(xiàn)有的應(yīng)用程序權(quán)限而不提示用戶進(jìn)行任何額外驗(yàn)證來繞過 macOS 的權(quán)限模型，這樣，就可以在用戶未察覺的情況下從用戶賬戶發(fā)送電子郵件、錄制音頻片段、拍照或錄制視頻，而無需與用戶進(jìn)行任何交互。

macOS 的許可模式受到審查

Cisco Talos 強(qiáng)調(diào)了 macOS 基于用戶同意的權(quán)限模型，該模型包含旨在保護(hù)用戶隱私和維護(hù)系統(tǒng)安全的功能。但研究發(fā)現(xiàn)，macOS 對(duì)應(yīng)用程序的權(quán)限管理過于信任，允許它們自我監(jiān)管，這一缺陷可能使攻擊者得以利用應(yīng)用程序的高級(jí)權(quán)限。

更令人擔(dān)憂的是，八款流行的微軟  macOS 應(yīng)用程序都激活了禁用庫(kù)驗(yàn)證的權(quán)限“com.apple.security.cs.disable-library-validation ”。

據(jù)蘋果公司稱，該權(quán)限允許加載由第三方開發(fā)者簽名的插件，旨在增強(qiáng)應(yīng)用程序的功能性。但這一機(jī)制存在安全隱患，攻擊者可能利用這一點(diǎn)注入任意庫(kù)，并在被攻擊的應(yīng)用程序中運(yùn)行惡意代碼，進(jìn)而完全控制應(yīng)用程序的權(quán)限和功能。

研究人員還觀察到，macOS 上的所有 Microsoft Office 應(yīng)用程序都允許加載未簽名的動(dòng)態(tài)庫(kù)。如果要修改已經(jīng)執(zhí)行過一次的應(yīng)用程序，需要特定的權(quán)限。不過，攻擊者可以通過將應(yīng)用程序復(fù)制到如 /tmp 等其他文件夾來繞過這一安全措施，但這也增加了數(shù)據(jù)泄露和系統(tǒng)被攻擊的風(fēng)險(xiǎn)。

研究人員指出，由于存在相對(duì)導(dǎo)入和禁用庫(kù)驗(yàn)證的權(quán)限，所有 Microsoft Office 應(yīng)用程序都容易受到庫(kù)注入攻擊。

微軟用戶面臨不必要的風(fēng)險(xiǎn)

Cisco Talos 的研究人員說，他們的發(fā)現(xiàn)讓人們對(duì)禁用庫(kù)驗(yàn)證的必要性產(chǎn)生了疑問，尤其是應(yīng)用程序不打算加載其他庫(kù)的情況下。微軟通過使用特定權(quán)限繞開了 macOS 的加固安全措施，這可能使用戶面臨原本不必要的風(fēng)險(xiǎn)。

在 Cisco Talos 報(bào)告漏洞后，微軟雖然認(rèn)為發(fā)現(xiàn)的問題風(fēng)險(xiǎn)較低，但已經(jīng)對(duì)其中的四款應(yīng)用程序進(jìn)行了更新，移除了 com.apple.security.cs.disable-library-validation 權(quán)限，這意味著它們不再容易受到已知庫(kù)注入攻擊的威脅。

這四款應(yīng)用程序是 Microsoft Teams 的主應(yīng)用程序、WebView 應(yīng)用程序和 ModuleHost 應(yīng)用程序，以及 Microsoft OneNote。不過，截至 2024 年 8 月 19 日，Microsoft Excel、Outlook、PowerPoint 和 Word 仍然存在漏洞。

檢查 macOS 應(yīng)用程序是否易受庫(kù)注入攻擊影響的流程圖  來源：Cisco Talos

研究人員建議，macOS 可以引入用戶提示來降低這一風(fēng)險(xiǎn)。這將允許用戶決定是否加載特定的第三方插件，從而提供一種更可控的訪問授權(quán)方式。