Microsoft выявила уязвимость в macOS, которая, если ее использовать, может позволить хакерам удаленно выполнять произвольный код. Уязвимость, обозначенная как CVE-2022-26706, обходит правила песочницы приложений macOS, позволяя выполнять макросы в документах Word.
В течение многих лет многие злоумышленники использовали макросы, чтобы обманом заставить людей загрузить на свои устройства вредоносное ПО (откроется в новой вкладке) или программы-вымогатели. Дошло до того, что Microsoft решила отключить макросы для всех файлов за пределами доверенной сети и сделать их включение довольно трудным для обычного пользователя Word.
Теперь Microsoft предупреждает, что эту практику можно использовать и на устройствах MacOS:
Запуск произвольных команд
«Несмотря на ограничения безопасности, налагаемые правилами App Sandbox на приложения, злоумышленники могут обойти эти правила и позволить вредоносному коду «утечь» из песочницы и выполнить произвольные команды на затронутом устройстве», — пояснил он в компании.
Уязвимость была обнаружена исследовательской группой Microsoft 365 Defender и, как сообщается, была исправлена Apple 16 мая.
App Sandbox — это технология, встроенная в macOS, которая обеспечивает контроль доступа к приложениям. Как следует из названия, его цель — сдержать любой потенциальный ущерб, который может нанести вредоносное приложение, и защитить конфиденциальные данные.
Проблема начинается с обратной совместимости Word. Чтобы это работало, приложение может читать или записывать файлы с рефиксом «~€». По словам Microsoft, используя службы запуска macOS для запуска команды open -stdin в специально созданном файле Python с этим префиксом, злоумышленник может обойти «песочницу».
Этот метод также позволяет злоумышленникам обходить «основные встроенные функции безопасности» в macOS, ставя под угрозу систему и пользовательские данные.
Microsoft опубликовала доказательство концепции, код которой настолько прост, что вы можете просто разместить файл Python с вышеупомянутым префиксом с помощью произвольных команд.
«Python успешно запускает наш код, и поскольку это дочерний процесс launchd, он не привязан к правилам песочницы Word», — заявили в Microsoft.
Через: BleepingComputer (открывается в новой вкладке)