Microsoft отключит аутентификацию старой школы для

Microsoft выявила брешь в macOS, которая, если ее использовать, может позволить хакерам удаленно выполнять произвольный код. Уязвимость, отмеченная как CVE-2022-26706, обходит правила песочницы приложений macOS, позволяя запускать макросы в документах Word.

В течение многих лет многие злоумышленники использовали макросы, чтобы заставить людей загружать вредоносные программы (откроется в новой вкладке) или программы-вымогатели на свои устройства. Дошло до того, что Microsoft решила отключить макросы для всех файлов за пределами доверенной сети и затруднить их включение для обычного пользователя Word.

Теперь Microsoft предупреждает, что эту практику можно использовать и на устройствах macOS:

Запуск произвольных команд

«Несмотря на ограничения безопасности, налагаемые правилами App Sandbox для приложений, злоумышленники могут обойти эти правила и позволить вредоносному коду «просочиться» из «песочницы» и выполнить произвольные команды на уязвимом устройстве», — пояснили в компании.

Уязвимость была обнаружена исследовательской группой Microsoft 365 Defender и, как сообщается, была исправлена ​​Apple 16 мая.

App Sandbox — это технология, встроенная в macOS, которая управляет доступом к приложениям. Как следует из названия, его цель — локализовать любой потенциальный ущерб, который может нанести вредоносное приложение, и защитить конфиденциальные данные.

Проблема начинается с обратной совместимости Word. Чтобы убедиться, что это работает, приложение может читать или записывать файлы с префиксом «~€». Microsoft объяснила, что, используя службы запуска macOS для запуска команды open -stdin в специально созданном файле Python с этим префиксом, злоумышленник может обойти песочницу.

Этот метод также позволяет злоумышленникам обходить «основные встроенные функции безопасности» в macOS, тем самым подвергая риску систему и пользовательские данные.

Microsoft выпустила доказательство концепции, код которой настолько прост, что вы можете просто бросить файл Python с префиксом, указанным выше, с произвольными командами.

«Python успешно запускает наш код, а поскольку это дочерний процесс запуска, он не привязан к правилам песочницы Word», — заявили в Microsoft.

Через: BleepingComputer (открывается в новой вкладке)

Поделиться