Los piratas informáticos podrían usar su Mac para explotar las fallas de seguridad de Microsoft Word

Los piratas informáticos podrían usar su Mac para explotar las fallas de seguridad de Microsoft Word

Microsoft ha sacado a la luz una falla en macOS que, de ser explotada, podría permitir a los piratas informáticos ejecutar código arbitrario de forma remota. La falla, identificada como CVE-2022-26706, elude las reglas de macOS App Sandbox, lo que permite que se ejecuten macros en documentos de Word.

Durante años, muchos actores de amenazas han utilizado macros para engañar a las personas para que descarguen malware (se abre en una pestaña nueva) o ransomware en sus dispositivos. Llegó a un punto en el que Microsoft decidió deshabilitar las macros en todos los archivos fuera de la red de confianza y hacer que habilitarlos fuera bastante difícil para el usuario promedio de Word.

Ahora, Microsoft advierte que la práctica también se puede usar en dispositivos macOS:

Ejecutar comandos arbitrarios

"A pesar de las restricciones de seguridad impuestas por las reglas de App Sandbox en las aplicaciones, es posible que los atacantes eludan dichas reglas y permitan que el código malicioso se 'filtre' del sandbox y ejecute comandos arbitrarios en un dispositivo afectado", explicó la compañía.

La falla fue descubierta por el equipo de investigación de Microsoft 365 Defender y, según los informes, Apple la reparó el 16 de mayo.

App Sandbox es una tecnología integrada en macOS, que maneja el control de acceso a las aplicaciones. Como sugiere su nombre, su propósito es contener cualquier daño potencial que una aplicación maliciosa pueda causar y proteger los datos confidenciales.

El problema comienza con la retrocompatibilidad de Word. Para asegurarse de que esto funcione, la aplicación puede leer o escribir archivos con un refijo "~€". Al aprovechar macOS Launch Services, para ejecutar un comando open -stdin en un archivo de Python especialmente diseñado con este prefijo, el atacante puede eludir la zona de pruebas, explicó Microsoft.

Este método también permite a los actores de amenazas eludir las "características de seguridad integradas básicas" en macOS, lo que compromete los datos del sistema y del usuario.

Microsoft ha publicado una prueba de concepto, cuyo código es tan simple que simplemente se puede colocar un archivo de Python, con el prefijo mencionado anteriormente, con comandos arbitrarios.

"Python ejecuta felizmente nuestro código, y debido a que es un proceso secundario de launchd, no está vinculado a las reglas de la zona de pruebas de Word", dijo Microsoft.

Через: BleepingComputer (открывается в новой вкладке)