macOS için Microsoft Uygulamaları Kütüphane Saldırıları Riski Altında


GÜNCELLEME

Yaygın olarak kullanılan Microsoft macOS uygulamaları, saldırganların macOS’un katı izin tabanlı güvenlik modelini ve kontrollerini atlatmak için uygulamaların yetkilerini kullanmalarına olanak tanıyan kitaplık enjeksiyon saldırılarına karşı savunmasızdır.

Saldırganlar, kullanıcının bilgisi olmadan ve herhangi bir kullanıcı etkileşimine ihtiyaç duymadan, bir kullanıcının hesabından gizlice e-posta göndermek veya ses ve video klipleri kaydetmek gibi çeşitli kötü amaçlı eylemleri gerçekleştirmek için güvenlik açığı bulunan uygulamaları kötüye kullanabilir.

Cisco Talos’tan araştırmacılar yakın zamanda sorunları keşfetti Apple’ın Şeffaflık, Onay ve Kontrolünün () istismar edilebilirliğini araştırırkenTÇK) macOS sistemlerinde kullanıcı verileri ve çeşitli sistem hizmetleri üzerindeki gizlilik ayarlarını yönetme ve uygulama çerçevesi. TCC’nin temel işlevlerinden biri, bir uygulamanın hassas kullanıcı verilerine ve kamera, mikrofon, kişiler, takvimler ve konum hizmetleri gibi sistem özelliklerine erişimini kontrol etmektir.

Güvenlik Açığı Olan Uygulamalar

Cisco Talos araştırmacıları macOS için sekiz büyük Microsoft uygulamasının (Outlook, Teams, PowerPoint, OneNote, Excel, Word ve Teams ile ilgili diğer iki bileşen) saldırganların uygulamanın çalışan süreçlerine kötü amaçlı bir kitaplık enjekte etmesine izin verdiğini buldu. Cisco Talos bu haftaki bir raporda “Bu kitaplık, sürece zaten verilmiş olan tüm izinleri kullanabilir ve etkin bir şekilde uygulamanın kendisi adına çalışabilir” dedi.

Cisco Talos tarafından tanımlanan sorun, Microsoft’un üçüncü taraf eklentilerinin yüklenmesine izin vermek için uygulamalardaki bir kütüphane doğrulama özelliğini devre dışı bırakma kararıyla ilgilidir. Araştırmacılar, “İzinler, bir uygulamanın mikrofon, kamera, klasörler, ekran kaydı, kullanıcı girişi ve daha fazlası gibi kaynaklara erişip erişemeyeceğini düzenler. Dolayısıyla, bir saldırgan bunlara erişim sağlarsa, hassas bilgileri sızdırabilir veya en kötü durumda ayrıcalıkları artırabilir” dedi.

Cisco Talos’ta güvenlik açığı araştırmacısı olan Francesco Benvenuto, kuruluşların isteseler bile kendi taraflarında kütüphane doğrulamasını etkinleştiremeyeceklerini söylüyor. “Microsoft, eklentilerin çalışması için bunun gerekli olduğunu söylüyor ancak Talos bunların ne için olduğunu açıklığa kavuşturamadı. Bulduğumuz eklentilerin hepsi HTML5’te yazılmıştı ve bu da onların bu yetkiyi devre dışı bırakmasını gerektirmezdi,” diyor.

Cisco Talos’a göre Microsoft, sorunu düşük önem derecesine sahip bir tehdit olarak nitelendirdi ve bunlar için herhangi bir düzeltme yayınlamayacağını söyledi. Buna rağmen, Cisco Talos’un söylediğine göre Microsoft, sorundan haberdar edildikten sonra etkilenen Teams ve OneNote uygulamalarını güncelledi. Ancak güvenlik satıcısı, macOS için dört Microsoft uygulamasının (Excel, Outlook, PowerPoint ve Word) savunmasız kalmaya devam ettiğini söyledi.

Microsoft sözcüsü, e-postayla gönderilen bir bildiride Talos tarafından tanımlanan sorunun ciddiyetini küçümsedi. “Açıklanan vakalar, açıklanan tekniğin saldırganın sisteme belirli bir düzeyde erişiminin olmasını gerektirmesi nedeniyle önemli bir güvenlik riski oluşturmuyor,” ifadeleri kullanıldı. “Ancak, raporda ayrıntılı olarak açıklandığı gibi, ek koruma için birkaç güncelleme uyguladık. En iyi uygulama olarak, müşteriler yazılımlarını güncel tutmalı ve uygulama izinlerini düzenli olarak incelemelidir.”

Apple’ın TCC’si Zayıflatıldı

Hoş geldiniz diyor bir saldırganın, bir kabuk veya kötü amaçlı bir uygulama aracılığıyla kullanıcının ayrıcalıklarıyla çalışması gerekir. “Bu süreçlere eklemek nispeten kolaydır. Saldırgan, ikili dosyayı yazılabilir bir konuma, örneğin /tmp’ye kopyalayabilir ve kendi kitaplığını ekleyebilir.”

Sectigo’da ürün kıdemli başkan yardımcısı olan Jason Soroko, Microsoft’un sorunu düşük önemde olarak sınıflandırma ve düzeltme yayınlamama kararının potansiyel olarak riskli olduğunu söylüyor. Soroko, “Bu yaklaşım, saldırganların kamera veya mikrofon gibi hassas cihaz özelliklerine yetkisiz erişim elde etmek için bu güvenlik açıklarından yararlanması durumunda ortaya çıkabilecek zararı göz ardı ediyor,” diyor. “Microsoft, tehdidi küçümseyerek, saldırganların yaratıcılığı ‘Düşük şiddetteki’ kusurları bile silah olarak kullanabilen yaratıcı ve zarar verici yollar.”

Cisco Talos, Microsoft uygulamalarını Apple’ın TCC çerçevesinin güvenlik ve gizlilik korumasını baltalamak olarak tanımladı. Varsayılan olarak Discretionary Access Control olarak bilinen şeye güvenen diğer çoğu işletim sisteminin aksine, TCC, uygulamaların kişiler, takvimler, fotoğraflar ve mikrofon ve kameraya erişim gibi belirli içerik ve hizmetlere erişmeye çalışırken açık kullanıcı izni almasını gerektirmede bir adım daha ileri gidiyor. TCC ayrıca, bir uygulamanın çalışan süreçlerine kod ve kitaplık enjeksiyonuna karşı özel olarak koruma sağlayan bir özelliği de destekliyor.

Cisco Talos, Microsoft’un kütüphane doğrulamasını devre dışı bırakarak saldırganlara korumaları aşma ve uygulamanın çalışan süreçlerine keyfi bir kütüphane yerleştirme fırsatı verdiğini söyledi.

Soroko, bu sorunun istismarının kolaylığının değiştiğini söylüyor. “Kütüphane enjeksiyon saldırıları teknik beceri gerektirse de, bu güvenlik açıklarının Teams ve Outlook gibi yaygın olarak kullanılan uygulamalarda bulunması risk profilini artırıyor. Yeterli bilgiye sahip bir saldırgan, özellikle gevşek güvenlik uygulamalarının olduğu ortamlarda bu kusurları istismar edebilir.”

Kuruluşların uygulama izinlerini gözden geçirip sıkılaştırmalarını ve olağan dışı etkinliklere yönelik izleme uygulamalarını öneriyor.

Bu haber, Cisco Talos’tan gelen ek ayrıntıları eklemek için TSİ 13:26’da ve Microsoft’tan gelen yorumları yansıtmak için TSİ 13:55’te güncellendi.





Source link