Microsoft, macOS’ta, istismar edilirse tehdit aktörlerinin uzaktan keyfi kod çalıştırmasına izin verebilecek bir kusura ışık tuttu. CVE-2022-26706 olarak izlenen kusur, macOS Uygulama Korumalı Alanı kurallarının aşılmasını sağlayarak Word belgelerindeki makroların çalışmasına olanak tanır.
Makrolar, insanları kötü amaçlı yazılım indirmeleri için kandırmak için yıllardır çok sayıda tehdit aktörü tarafından kullanılıyor. (yeni sekmede açılır)veya fidye yazılımı, uç noktalarında. Microsoft, güvenilir ağ dışındaki tüm dosyalarda makroları devre dışı bırakmaya ve ortalama bir Word kullanıcısının bunları etkinleştirmesini oldukça zorlaştırmaya karar verdiğinde bir noktaya geldi.
Şimdi Microsoft, uygulamanın MacOS cihazlarda da kullanılabileceği konusunda uyarıyor:
İsteğe bağlı komutları yürütme
Şirket, “App Sandbox’ın uygulamalar üzerindeki kurallarının getirdiği güvenlik kısıtlamalarına rağmen, saldırganların söz konusu kuralları atlaması ve kötü niyetli kodların sanal alandan “kaçmasına” ve etkilenen bir cihazda keyfi komutlar yürütmesine izin vermesi mümkün” dedi.
Kusur Microsoft 365 Defender Araştırma Ekibi tarafından keşfedildi ve bildirildiğine göre Apple tarafından 16 Mayıs’ta düzeltildi.
App Sandbox, uygulama erişim kontrolünü yöneten, macOS’ta yerleşik bir teknolojidir. Adından da anlaşılacağı gibi amacı, kötü niyetli bir uygulamanın yapabileceği olası zararları kontrol altına almak ve hassas verileri korumaktır.
Sorun, Word’ün geriye dönük uyumluluğuyla başlar. Çalıştığından emin olmak için uygulama, “~$” düzeltmesiyle dosyaları okuyabilir veya yazabilir. Microsoft ayrıca, saldırganın bu önekle özel hazırlanmış bir Python dosyasında open -stdin komutu çalıştırmak için macOS’un Başlatma Hizmetlerinden yararlanarak korumalı alanı atlayabileceğini açıkladı.
Bu yöntem aynı zamanda tehdit aktörlerinin macOS’ta “yerleşik, temel güvenlik özelliklerini” atlamasına ve sonuç olarak hem sistem hem de kullanıcı verilerini tehlikeye atmasına olanak tanır.
Microsoft, kodu o kadar basit ki, yukarıda belirtilen önek ile rastgele komutlarla bir Python dosyasını bırakabileceğiniz bir kavram kanıtı yayınladı.
Microsoft, “Python kodumuzu mutlu bir şekilde çalıştırıyor ve bu bir alt başlatma süreci olduğundan, Word’ün sanal alan kurallarına bağlı değil” dedi.
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)
