Cisco Talos tarafından yayınlanan araştırmaya göre, Apple macOS işletim sistemi için özel olarak tasarlanmış birçok Microsoft uygulaması kötü niyetli kişiler tarafından bozulma riski altında.
Talos araştırmacısı Francesco Benvenuto, Excel, OneNote, Outlook, PowerPoint, Teams ve Word dahil olmak üzere yaygın olarak kullanılan Microsoft yazılımlarında sekiz güvenlik açığı buldu.
Bu kusurların istismar edilmesi halinde, tehdit aktörlerinin Apple’ın izin ayarlarından yararlanarak güvenlik açığı bulunan uygulamalara kötü amaçlı kütüphaneler enjekte etmelerine ve bunların yetkileri ile kullanıcı izinleri üzerinde kontrol sahibi olmalarına olanak tanınabilir.
“İzinler, bir uygulamanın mikrofon, kamera, klasörler, ekran kaydı, kullanıcı girişi ve daha fazlası gibi kaynaklara erişip erişemeyeceğini düzenler. Bu nedenle, bir saldırgan bunlara erişim elde ederse, hassas bilgileri sızdırabilir veya en kötü durumda ayrıcalıkları artırabilir,” diye yazdı Benvenuto.
Nasıl çalışır?
Sorunun kapsamı, macOS’un üçüncü taraf uygulama izinlerini nasıl ele aldığına bağlıdır. Genellikle, işletim sistemleri bu politikaları takdir yetkisine dayalı erişim denetimi (DAC) ilkelerine dayandırır, ancak bu, kullanıcı veya kök ayrıcalıklarıyla çalışan savunmasız yazılımlara veya kötü amaçlı yazılımlara karşı çok sınırlı koruma sağlar.
Apple bu nedenle daha da ileri giderek Şeffaflık, Onay ve Kontrol (TCC) adı verilen bir mekanizma kullanarak bazı kaynaklara erişimi güvence altına alıyor. Bu mekanizma, uygulamaların mikrofon, kamera vb. gibi korunan şeylere erişmeden önce açık bir insan onayı almasını gerektiriyor.
Bu onay mekanizması kullanıcıya çoğu Mac sahibine tanıdık gelecek bir açılır pencere olarak gösterilir. Bu karar daha sonra gelecekte referans olması için kaydedilir ve istenirse gelecekte cihazın Gizlilik ve Güvenlik ayarları üzerinden değiştirilebilir.
macOS artık App Store üzerinden dağıtılan uygulamaların, uygulamanın açıkça yetkilendirmeler aracılığıyla talep ettiği kaynaklara erişimi kısıtlayan ve bazıları kullanıcı onayı açılır penceresiyle yönetilen deneme ortamına tabi tutulmasını gerektiren kod enjeksiyonunu durdurma hükümlerini de içeriyor.
Benvenuto, örnek olarak, düzgün bir şekilde korumalı bir uygulamanın yalnızca kamera yetkisi ‘true’ olarak ayarlandığında kamera erişimi için istemde bulunacağını açıkladı. Bu yetki mevcut değilse, izin verilmeyecek ve kullanıcı hiçbir zaman bir açılır pencere görmeyecektir.
Noter onaylı uygulamalar, yani Apple’ın tarayıcıları tarafından şüpheli bileşenler açısından kontrol edilen uygulamaların, kod enjeksiyonuna karşı daha dayanıklı hale getirmek için güçlendirilmiş çalışma zamanını etkinleştirmeleri de gerekiyor.
Araştırma kapsamındaki tüm Microsoft uygulamalarını içeren bu uygulamalar, güvenilmeyen bir kitaplığı yüklemek gibi daha yüksek riskli eylemler gerçekleştirmesi gerekebilir ve bu niyeti hakları aracılığıyla beyan etmelidir. Bu durumda, geliştiricilerinin devre dışı bırakma kitaplığı doğrulama hakkını ‘true’ olarak ayarlaması gerekir.
Tüm bu özelliklerin Mac kullanıcıları için gelişmiş koruma sağlamak amacıyla birlikte çalışması gerekiyor. Ancak, bir saldırgan çalışan bir uygulamanın işlem alanına kötü amaçlı bir kod kütüphanesi enjekte edebilirse, söz konusu kütüphane kendisine verilen tüm izinleri kullanabilir.
Yani araştırmanın da gösterdiği gibi, kapsamdaki Microsoft uygulamaları, bir tehdit aktörünün tehlikeye attığı bir kütüphaneyi yüklemeleri durumunda savunmasız hale geliyor.
Sorumlu kullanım
Benvenuto, Apple’ın modelinin gerçekten etkili ve güvenli olabilmesi için uygulamaların izinlerini sorumlu bir şekilde yönetmesine dayandığını söyledi.
“MacOS, uygulamaların izinlerini kendi kendine denetlemesine güvenir. Bu sorumlulukta bir başarısızlık, uygulamaların yetkisiz eylemler için yanlışlıkla proxy görevi görerek TCC’yi atlatıp sistemin güvenlik modelini tehlikeye atmasıyla tüm izin modelinin ihlaline yol açar. Bu, uygulamaların istismar vektörleri olmaktan kaçınmak için sağlam güvenlik önlemleri uygulamasının önemini vurgular.”
Benvenuto, Microsoft uygulamalarının eklentileri desteklemek için kütüphane doğrulama hakkını kullandığını, bunun da üçüncü taraf geliştiriciler tarafından imzalanmış eklentiler anlamına gelmesi gerektiğini ancak bu durumda gerçekten yalnızca Microsoft’un kendi Office eklentilerine atıfta bulunduğunu belirtti. Bunun, Microsoft’un hiçbir harici kütüphanenin ortaya çıkması beklenmiyorsa neden kütüphane doğrulamasını devre dışı bırakması gerektiği konusunda daha fazla soru ortaya çıkardığını söyledi.
“Microsoft bu hakkı kullanarak, güçlendirilmiş çalışma zamanının sunduğu güvenlik önlemlerini atlatıyor ve kullanıcılarını gereksiz risklere maruz bırakıyor” diye yazdı.
Sekiz güvenlik açığı
Cisco Talos ekibi tarafından açıklanan sorunlara aşağıdaki tanımlar verilmiştir:
- Microsoft PowerPoint’te CVE-2024-39804;
- Microsoft Teams’de (iş veya okul) CVE-2024-41138 com.microsoft.teams2.modulehost.app;
- Microsoft Teams’de (iş veya okul) WebView.app yardımcı uygulamasında CVE-2024-41145;
- Microsoft OneNote’ta CVE-2024-41159;
- Microsoft Word’de CVE-2024-41165;
- Microsoft Teams’de (iş veya okul) CVE-2024-42004;
- Microsoft Outlook’ta CVE-2024-42220;
- Ve Microsoft Excel’deki CVE-2024-43106.
Benvenuto’ya göre Microsoft, bu sorunları düşük riskli olarak değerlendiriyor ve Office eklentilerini desteklemek için uygulamaların imzasız kitaplıkların yüklenmesine izin vermesi gerektiğinden, bazı sorunları düzeltmeyi reddediyor.
Yazım sırasında, hem Teams hem de OneNote’un sorunlu hakları kaldırıldı ve artık istismara karşı savunmasız değiller. Diğerleri risk altında kalmaya devam ediyor.