Yaygın olarak kullanılan Microsoft macOS uygulamaları, saldırganların macOS’un katı izin tabanlı güvenlik modelini ve kontrollerini atlatmak için uygulamaların yetkilerini kullanmalarına olanak tanıyan kitaplık enjeksiyon saldırılarına karşı savunmasızdır.
Saldırganlar, kullanıcının bilgisi olmadan ve herhangi bir kullanıcı etkileşimine ihtiyaç duymadan, bir kullanıcının hesabından gizlice e-posta göndermek veya ses ve video klipleri kaydetmek gibi çeşitli kötü amaçlı eylemleri gerçekleştirmek için güvenlik açığı bulunan uygulamaları kötüye kullanabilir.
Cisco Talos’tan araştırmacılar yakın zamanda sorunları keşfetti Apple’ın Şeffaflık, Onay ve Kontrolünün () istismar edilebilirliğini araştırırkenTÇK) macOS sistemlerinde kullanıcı verileri ve çeşitli sistem hizmetleri üzerindeki gizlilik ayarlarını yönetme ve uygulama çerçevesi. TCC’nin temel işlevlerinden biri, bir uygulamanın hassas kullanıcı verilerine ve kamera, mikrofon, kişiler, takvimler ve konum hizmetleri gibi sistem özelliklerine erişimini kontrol etmektir.
Güvenlik Açığı Olan Uygulamalar
Cisco Talos araştırmacıları macOS için sekiz büyük Microsoft uygulamasının (Outlook, Teams, PowerPoint, OneNote, Excel, Word ve Teams ile ilgili diğer iki bileşen) saldırganların uygulamanın çalışan süreçlerine kötü amaçlı bir kitaplık enjekte etmesine izin verdiğini buldu. Cisco Talos bu haftaki bir raporda “Bu kitaplık, sürece zaten verilmiş olan tüm izinleri kullanabilir ve etkin bir şekilde uygulamanın kendisi adına çalışabilir” dedi.
Cisco Talos tarafından tanımlanan sorun, Microsoft’un üçüncü taraf eklentilerinin yüklenmesine izin vermek için uygulamalardaki bir kütüphane doğrulama özelliğini devre dışı bırakma kararıyla ilgilidir. Araştırmacılar, “İzinler, bir uygulamanın mikrofon, kamera, klasörler, ekran kaydı, kullanıcı girişi ve daha fazlası gibi kaynaklara erişip erişemeyeceğini düzenler. Dolayısıyla, bir saldırgan bunlara erişim sağlarsa, hassas bilgileri sızdırabilir veya en kötü durumda ayrıcalıkları artırabilir” dedi.
Cisco Talos, macOS için sekiz Microsoft uygulamasında devre dışı bırakılan kitaplık doğrulama sorunu için sekiz ayrı CVE yayınladı.
Microsoft, Dark Reading’in yorum talebine hemen yanıt vermedi. Ancak Cisco Talos’a göre Microsoft, sorunu düşük önem derecesine sahip bir tehdit olarak nitelendirdi ve bunlar için herhangi bir düzeltme yayınlamayacağını söyledi. Buna rağmen, Cisco Talos’un söylediğine göre Microsoft, sorundan haberdar olduktan sonra etkilenen Teams ve OneNote uygulamalarını güncelledi. Ancak güvenlik satıcısı, macOS için dört Microsoft uygulamasının (Excel, Outlook, PowerPoint ve Word) savunmasız kaldığını söyledi.
Apple’ın TCC’si Zayıflatıldı
Sectigo’da ürün kıdemli başkan yardımcısı olan Jason Soroko, Microsoft’un sorunu düşük önemde olarak sınıflandırma ve düzeltme yayınlamama kararının potansiyel olarak riskli olduğunu söylüyor. Soroko, “Bu yaklaşım, saldırganların kamera veya mikrofon gibi hassas cihaz özelliklerine yetkisiz erişim elde etmek için bu güvenlik açıklarından yararlanması durumunda ortaya çıkabilecek zararı göz ardı ediyor,” diyor. “Microsoft, tehdidi küçümseyerek, saldırganların yaratıcılığı ‘Düşük şiddetteki’ kusurları bile silah olarak kullanabilen yaratıcı ve zarar verici yollar.”
Cisco Talos, Microsoft uygulamalarını Apple’ın TCC çerçevesinin güvenlik ve gizlilik korumasını baltalamak olarak tanımladı. Varsayılan olarak Discretionary Access Control olarak bilinen şeye güvenen diğer çoğu işletim sisteminin aksine, TCC, uygulamaların kişiler, takvimler, fotoğraflar ve mikrofon ve kameraya erişim gibi belirli içerik ve hizmetlere erişmeye çalışırken açık kullanıcı izni almasını gerektirmede bir adım daha ileri gidiyor. TCC ayrıca, bir uygulamanın çalışan süreçlerine kod ve kitaplık enjeksiyonuna karşı özel olarak koruma sağlayan bir özelliği de destekliyor.
Cisco Talos, Microsoft’un kütüphane doğrulamasını devre dışı bırakarak saldırganlara korumaları aşma ve uygulamanın çalışan süreçlerine keyfi bir kütüphane yerleştirme fırsatı verdiğini söyledi.
Soroko, bu sorunun istismarının kolaylığının değiştiğini söylüyor. “Kütüphane enjeksiyon saldırıları teknik beceri gerektirse de, bu güvenlik açıklarının Teams ve Outlook gibi yaygın olarak kullanılan uygulamalarda bulunması risk profilini artırıyor. Yeterli bilgiye sahip bir saldırgan, özellikle gevşek güvenlik uygulamalarının olduğu ortamlarda bu kusurları istismar edebilir.”
Kuruluşların uygulama izinlerini gözden geçirip sıkılaştırmalarını ve olağan dışı etkinliklere yönelik izleme uygulamalarını öneriyor.