Microsoft, bir saldırganın kum havuzu kısıtlamalarını atlamasına ve sistemde kod çalıştırmasına yardımcı olabilecek bir güvenlik açığı için istismar kodunu yayınladı.
Şirket, şu anda CVE-2022-26706 olarak tanımlanan güvenlik sorununun teknik ayrıntılarını yayınladı ve MacOS Uygulaması Sandbox kurallarından, Word belgelerindeki kötü amaçlı makro kodun makinedeki komutları yürütmesine izin vermek için nasıl önlenebileceğini açıkladı.
Ofis belgelerindeki makroları kötü amaçlı yazılım dağıtmak için istismar etmek, Windows sistemlerini tehlikeye atmak için uzun zamandır etkili ve popüler bir teknik olmuştur.
Aynı şey, uygun güvenlik güncellemelerinden yoksun macOS makinelerinde de elde edilebilir, Microsoft bugün bir raporda uyarıyor.
"Uygulama Sandbox’ın uygulamalarla ilgili kurallarının getirdiği güvenlik kısıtlamalarına rağmen, saldırganların söz konusu kuralları atlamaları ve kötü amaçlı kodların sandbox'tan“ kaçmasına ”ve etkilenen bir cihazda keyfi komutlar yürütmesine izin vermesi mümkündür -Microsoft
Jonathan Bar veya Microsoft 365 Defender Araştırma Ekibi, MacOS'taki Microsoft Office belgelerindeki kötü niyetli makroları çalıştırma ve tespit etme yöntemlerine bakarken güvenlik açığının keşfedildiğini açıklar.
Geriye dönük uyumluluğu sağlamak için Microsoft Word, uygulamanın sanal alan kurallarında tanımlanan “~ $” öneki ile gelen dosyaları okuyabilir ve yazabilir.
MacOS sanal alanından kaçmak hakkında eski raporlar [1, 2] inceledikten sonra, araştırmacılar, yukarıda belirtilen önek ile özel bir python dosyasında açık bir python dosyasında açık bir komutu çalıştırmak için lansman hizmetlerinin kullanıldığını, macOS'ta uygulama sandbox'ının kaçmasına izin verdiğini buldular. sistem.
Araştırmacılar, “com.apple.quarantine” genişletilmiş öznitelik kısıtlamasını atlamak için bir Python dosyasındaki açık komut için -stdin seçeneğini kullanan bir kavram kanıtı (POC) buldular.
Demo istismar kodu, keyfi komutlar içeren bir Python dosyasını bırakmak kadar basittir ve adına Word için özel öneke sahiptir.
Open -stdin komutunu kullanmak, Python uygulamasını standart giriş olarak özel hazırlanmış dosyayla başlatır.
Jonathan veya Bar, “Python, kodumuzu mutlu bir şekilde çalıştırıyor ve LaunchD'nin bir çocuk süreci olduğu için Word’in kum havuzu kurallarına bağlı değil” diye açıklıyor.
Araştırmacılar, istismar kodunu bir tweet'e sığacak kadar sıkıştırmayı bile başardılar.
Microsoft, Apple'a geçen yıl Ekim ayında güvenlik açığını bildirdi ve Mayıs 2022'de MacOS güvenlik güncellemeleri ile bir düzeltme yapıldı (Big Sur 11.6.6)
Sorunu sorumlu bir şekilde ifşa etmek için kredi, bağımsız olarak bulan başka bir güvenlik araştırmacısı Arsenii Kostromin ile paylaşılıyor.
Microsoft, bulut belgelerini açarken ofis uygulamalarını çarpma ofis uygulamalarını düzeltir
Microsoft, düzinelerce Azure Site Kurtarma ayrıcalığını düzeltiyor.
Microsoft, ofis makrolarını engelleme kararının geçici olduğunu söylüyor
İnternetten Microsoft Office Dokümanlarındaki Makroları Otomatik Nasıl Blokır
Microsoft, Varsayılan Ofis Makrolarını Engelleme Kararını geri alır
Kaynak: Bleeping Computer