Les utilisateurs de macOS pourraient être la cible d'attaques malveillantes à l'aide de fichiers Microsoft Office contenant des macros intégrées, selon les détails de l'exploit désormais corrigé partagé aujourd'hui par le chercheur en sécurité Patrick Wardle, qui s'est également entretenu avec Carte mère .
Les pirates informatiques utilisent depuis longtemps des fichiers Office contenant des macros intégrées pour accéder aux ordinateurs Windows, mais l'exploit est également possible sur macOS. Selon Wardle, un utilisateur Mac pourrait potentiellement être infecté en ouvrant simplement un fichier Microsoft Office contenant une mauvaise macro.
Wardle a partagé un article de blog sur l'exploit qu'il a trouvé pour manipuler des fichiers Office pour avoir un impact sur les Mac, qu'il met en évidence lors de la conférence en ligne sur la sécurité Black Hat d'aujourd'hui.
Apple a corrigé l'exploit utilisé par Wardle dans macOS 10.15.3, de sorte que cette vulnérabilité particulière n'est plus disponible pour les pirates, mais elle offre un aperçu intéressant d'une méthode d'attaque émergente que nous pourrions voir davantage à l'avenir.
Le piratage de Wardle était compliqué et impliquait plusieurs étapes, donc ceux qui s'intéressent à tous les détails devrait lire son blog , mais fondamentalement, il a utilisé un fichier Office avec un ancien format .slk pour exécuter des macros sur macOS sans en informer l'utilisateur.
'Les chercheurs en sécurité adorent ces anciens formats de fichiers car ils ont été créés à une époque où personne ne pensait à la sécurité', a déclaré Wardle. Carte mère .
Après avoir utilisé le format de fichier obsolète pour que macOS exécute une macro dans Microsoft Office sans que l'utilisateur le sache, il a utilisé une autre faille qui a permis à un pirate informatique de s'échapper du bac à sable Microsoft Office avec un fichier qui utilise un signe $. Le fichier était un fichier .zip, que macOS n'a pas vérifié par rapport aux protections de notarisation qui empêchent les utilisateurs d'ouvrir des fichiers ne provenant pas de développeurs connus.
Une démonstration d'un fichier Microsoft Office téléchargé avec une macro utilisée pour ouvrir la calculatrice.
L'exploit a obligé la personne ciblée à se connecter à son Mac à deux reprises, car les connexions déclenchent différentes étapes dans la chaîne d'exploit, ce qui la rend moins susceptible de se produire, mais comme le dit Wardle, une seule personne doit tomber dans le piège.
Microsoft a déclaré à Wardle qu'il avait découvert que 'toute application, même en mode bac à sable, est vulnérable à une utilisation abusive de ces API' et qu'elle est en contact avec Apple pour identifier et résoudre les problèmes au fur et à mesure qu'ils surviennent. Les vulnérabilités utilisées par Wardle pour démontrer comment les macros peuvent être utilisées abusivement ont depuis longtemps été corrigées par Apple, mais il est toujours possible qu'un exploit similaire survienne plus tard.
Les utilisateurs de Mac ne sont pas invulnérables aux virus et doivent faire preuve de prudence lors du téléchargement et de l'ouverture de fichiers provenant de sources inconnues, et parfois même de sources connues. Il est préférable de rester à l'écart des fichiers Office suspects et d'autres fichiers aux origines louches, même avec les protections qu'Apple a intégrées à macOS.
Articles Populaires