Cisco Talos, macOS işletim sisteminde çalışan Microsoft uygulamalarında sekiz güvenlik açığı tespit etti ve bu açığın saldırganlar tarafından kötüye kullanılma olasılığı konusunda endişelere yol açtı.
Bu güvenlik açıkları istismar edildiğinde saldırganların Microsoft uygulamalarının izinlerini ve yetkilerini ele geçirmesine ve mikrofonlar, kameralar ve kullanıcı verileri gibi hassas kaynaklara yetkisiz erişim sağlanmasına olanak tanıyabilir.
Güvenlik açıkları, özellikle Şeffaflık, Onay ve Kontrol (TCC) çerçevesi olmak üzere macOS güvenlik modeliyle ilgili.
Bu çerçeve, uygulamalar hassas kaynaklara erişebilmeden önce açık kullanıcı onayı gerektirerek kullanıcı gizliliğini korumak için tasarlanmıştır. Ancak,
Cisco Talos, bu Microsoft uygulamalarının bu izin modelini atlatacak şekilde manipüle edilebileceğini ve saldırganların kullanıcı doğrulaması olmadan mevcut uygulama izinlerini kullanabilmelerine olanak tanıyabileceğini keşfetti.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Access
Etkilenen Uygulamaların Listesi
Güvenlik açıkları, her biri ilgili CVE tarafından tanımlanan aşağıdaki Microsoft uygulamalarında bulundu:
- Microsoft Outlook (CVE-2024-42220)
- Microsoft Teams (iş veya okul) (CVE-2024-42004)
- Microsoft PowerPoint (CVE-2024-39804)
- Microsoft OneNote (CVE-2024-41159)
- Microsoft Excel (CVE-2024-43106)
- Microsoft Word (CVE-2024-41165)
- Microsoft Teams WebView.app yardımcı uygulaması (CVE-2024-41145)
- Microsoft Teams com.microsoft.teams2.modulehost.uygulama (CVE-2024-41138)
Bir saldırgan bu güvenlik açıklarını başarıyla istismar ederse, kullanıcı bilgisi olmadan e-posta gönderme, ses kaydı yapma veya video yakalama gibi eylemler gerçekleştirebilir. Microsoft bu sorunları düşük riskli olarak sınıflandırmış ve bazı uygulamalarda eklenti desteği için imzasız kitaplıkların yüklenmesine izin verme gerekliliğini öne sürerek bunları düzeltmeyi reddetmiştir.
Güvenlik açıkları iki grup uygulamada keşfedildi: Microsoft Office uygulamaları (Word, Outlook, Excel, OneNote, PowerPoint) ve Microsoft Teams uygulamaları (Teams, WebView.app, com.microsoft.teams2.modulehost.app).
Tüm bu uygulamalar, com.apple.security.cs.disable-library-validation yetkisi true olarak ayarlandığı için kütüphane enjeksiyon saldırılarına karşı savunmasızdır; bu da bir saldırganın herhangi bir kütüphaneyi enjekte etmesine ve tehlikeye atılan uygulama içinde keyfi kod çalıştırmasına olanak tanır.
Örneğin, bir saldırgan Microsoft Outlook’a kötü amaçlı bir kitaplık enjekte ederse, kullanıcı etkileşimi olmadan e-posta gönderebilir. Benzer şekilde, bir saldırgan Microsoft Teams’e bir kitaplık enjekte ederse, herhangi bir açılır bildirimi tetiklemeden kameraya ve mikrofona erişebilir.
macOS Güvenlik Modelini Anlama
Apple’ın macOS’u, kullanıcı gizliliğini korumak için TCC ve yetkilendirmeleri içeren katmanlı bir güvenlik modeli kullanır. TCC hassas verilere erişim için kullanıcı onayı gerektirirken, yetkilendirmeler uygulamalara belirli yetenekler verir.
Ancak belirlenen güvenlik açıkları, özellikle güvenilir uygulamalar tehlikeye girdiğinde bu modeldeki potansiyel zayıflıkları ortaya çıkarıyor.
Microsoft, kütüphane doğrulamasının devre dışı bırakılmasına izin veren yetkiyi kaldırarak savunmasız uygulamalardan dördünü güncelledi. Ancak Microsoft Excel, Outlook, PowerPoint ve Word savunmasız kalmaya devam ediyor. Kullanıcıların dikkatli olmaları ve macOS “Gizlilik ve Güvenlik” ayarları aracılığıyla uygulama izinlerini izlemeleri önerilir.
Bu açıkların keşfi, yazılım uygulamalarında güçlü güvenlik önlemlerinin önemini vurgulamaktadır.
macOS güvenlik modeli önemli bir koruma sağlarken, güvenilir uygulamalar aracılığıyla istismar edilme potansiyeli, güvenlik protokollerinde sürekli teyakkuz ve güncelleme ihtiyacını vurgulamaktadır.
Kullanıcıların uygulama izinleri konusunda bilgi sahibi olmaları ve olası riskleri azaltmak için yazılımlarını düzenli olarak güncellemeleri önerilir.
Download Free Cybersecurity Planning Checklist for SME Leaders (PDF) – Free Download