Cisco Talos araştırmacıları, macOS için popüler Microsoft uygulamalarındaki güvenlik açıklarının saldırganlar tarafından video ve ses klipleri kaydetmek, fotoğraf çekmek, verilere erişip bunları dışarı aktarmak ve e-posta göndermek için kullanılabileceğini keşfetti.
macOS için Microsoft uygulamalarındaki kütüphane enjeksiyonu güvenlik açıkları
Kusurlar – CVE-2024-41138, CVE-2024-41145, CVE-2024-41159, CVE-2024-42004, CVE-2024-41165, CVE-2024-43106, CVE-2024-39804 ve CVE-2024-42220 – macOS için Microsoft Teams, OneNote, Outlook, Word, Excel ve Powerpoint’te bulundu.
Saldırganların, savunmasız uygulamaların haklarını ve kullanıcılar tarafından verilen izinleri (örneğin mikrofon, kamera, klasörler, ekran kaydı, kullanıcı girdisi vb. gibi kaynaklara erişim) üstlenebilmeleri için özel olarak hazırlanmış kütüphaneleri enjekte etmelerine olanak tanırlar.
MacOS, dinamik olarak bağlantılı kitaplık (DLL) ele geçirilmesini önlemek için Sertleştirilmiş Çalışma Zamanı adlı bir güvenlik özelliği kullanır, ancak güvenlik açığı bulunan uygulamalar belirli bir yetkiyi etkinleştirmiştir – com.apple.security.cs.kitaplık doğrulamasını devre dışı bırak – bu korumayı geçersiz kılar.
“Güçlendirilmiş çalışma zamanı, kütüphane enjeksiyon saldırılarına ve [macOS App Sandbox] Cisco Talos Kıdemli Güvenlik Açığı Araştırmacısı Francesco Benvenuto, “Kullanıcı verilerini ve sistem kaynaklarını güvence altına alsa da, kötü amaçlı yazılımlar belirli koşullar altında belirli uygulamaları istismar etmenin yollarını bulabilir” şeklinde açıklama yaptı.
“Tüm korumalı uygulamaların eşit derecede hassas olmadığını belirtmek önemlidir. Genellikle, bir uygulamanın uygulanabilir bir saldırı vektörü haline gelmesi için belirli yetkilerin veya güvenlik açıklarının bir kombinasyonu gerekir.”
macOS için diğer uygulamalar, aşağıdaki güvenlik açıklarını kullanırlarsa güvenlik açığına sahip olabilirler: com.apple.security.cs.kitaplık doğrulamasını devre dışı bırak Benvenuto, Help Net Security’ye, hak sahibi olma ve kütüphaneleri değiştirmenin bir yolu olduğunu söyledi, ancak com.apple.security.cs.kitaplık doğrulamasını devre dışı bırak kendi başına her zaman savunmasız olmak anlamına gelmez.
(Bazı) düzeltmeler
Cisco Talos bulgularını Microsoft ile paylaştı ve şirket Teams ve OneNote için özel hakkı kaldırdı; bu, söz konusu iki uygulama için sorunu çözmek için yeterliydi.
Ancak Outlook, Word, Excel veya PowerPoint’ten kaldırmıyorlar, çünkü bazı eklentilerin çalışması için buna ihtiyaç duyuyorlar.
“Apple’a göre bu hak, üçüncü taraf geliştiriciler tarafından imzalanan eklentilerin yüklenmesine izin veriyor. Ancak bildiğimiz kadarıyla Microsoft’un macOS uygulamaları için kullanılabilen tek ‘eklentiler’ web tabanlı ve ‘Office eklentileri’ olarak biliniyor,” diye belirtti Benvenuto.
“Güvenlik açığı bulunan uygulamalar, saldırganların uygulamaların tüm yetkilerini istismar etmesine ve herhangi bir kullanıcı istemi olmadan uygulamaya daha önce verilmiş tüm izinleri yeniden kullanmasına olanak sağlıyor ve saldırgan için etkin bir şekilde izin aracısı görevi görüyor.”