Las aplicaciones de Microsoft ampliamente utilizadas para macOS son vulnerables a ataques de inyección de biblioteca que permiten a los adversarios usar los derechos de las aplicaciones para eludir el estricto modelo de seguridad y los controles basados en permisos de macOS.
Los atacantes pueden abusar de las aplicaciones vulnerables para ejecutar una variedad de acciones maliciosas, como enviar correos electrónicos subrepticiamente desde la cuenta de un usuario o grabar clips de audio y video, sin el conocimiento del usuario y sin la necesidad de ninguna interacción del usuario.
Los investigadores de Cisco Talos recientemente Descubrí los problemas Al investigar la explotabilidad de la Política de Transparencia, Consentimiento y Control de Apple (TCC) marco para administrar y aplicar configuraciones de privacidad en los datos de usuario y varios servicios del sistema en sistemas macOS. Una de las funciones principales de TCC es controlar el acceso de una aplicación a datos confidenciales del usuario y a funciones del sistema como la cámara, el micrófono, los contactos, los calendarios y los servicios de ubicación.
Aplicaciones vulnerables
Los investigadores de Cisco Talos descubrieron que ocho de las principales aplicaciones de Microsoft para macOS (Outlook, Teams, PowerPoint, OneNote, Excel, Word y otros dos componentes relacionados con Teams) permiten a los atacantes inyectar una biblioteca maliciosa en los procesos en ejecución de la aplicación. “Esa biblioteca podría utilizar todos los permisos ya otorgados al proceso, operando efectivamente en nombre de la propia aplicación”, dijo Cisco Talos en un informe esta semana.
El problema identificado por Cisco Talos tiene que ver con la decisión de Microsoft de desactivar una función de validación de bibliotecas en las aplicaciones para permitir la carga de complementos de terceros. “Los permisos regulan si una aplicación puede acceder a recursos como el micrófono, la cámara, las carpetas, la grabación de pantalla, la entrada del usuario y más. Por lo tanto, si un adversario obtuviera acceso a estos, podría filtrar información confidencial o, en el peor de los casos, aumentar los privilegios”, dijeron los investigadores.
Cisco Talos ha emitido ocho CVE independientes para el problema de validación de biblioteca deshabilitada en las ocho aplicaciones de Microsoft para macOS.
Microsoft no respondió de inmediato a una solicitud de comentarios de Dark Reading. Sin embargo, según Cisco Talos, Microsoft ha caracterizado el problema como una amenaza de baja gravedad y ha dicho que no emitirá ninguna solución para ellos. Aun así, Microsoft parece haber actualizado las aplicaciones Teams y OneNote afectadas después de ser notificado del problema, dijo Cisco Talos. Pero cuatro aplicaciones de Microsoft para macOS (Excel, Outlook, PowerPoint y Word) siguen siendo vulnerables, dijo el proveedor de seguridad.
El TCC de Apple se ve socavado
Jason Soroko, vicepresidente sénior de productos de Sectigo, afirma que la decisión de Microsoft de clasificar el problema como de baja gravedad y optar por no publicar una solución es potencialmente arriesgada. “Este enfoque pasa por alto el daño que podría causar si los atacantes explotaran estas vulnerabilidades para obtener acceso no autorizado a funciones sensibles del dispositivo, como la cámara o el micrófono”, afirma Soroko. “Al restar importancia a la amenaza, Microsoft corre el riesgo de subestimar la ingenio de los atacantes ¿Quién podría convertir en arma incluso fallas de “baja gravedad” en Formas creativas y dañinas.”
El propio Cisco Talos ha descrito las aplicaciones de Microsoft como un riesgo para la seguridad y la protección de la privacidad del marco TCC de Apple. A diferencia de la mayoría de los demás sistemas operativos que se basan de forma predeterminada en lo que se conoce como control de acceso discrecional, TCC va un paso más allá al exigir que las aplicaciones obtengan un permiso explícito del usuario cuando intentan acceder a determinados contenidos y servicios, como contactos, calendarios, fotos y acceso al micrófono y la cámara. TCC también admite una función que protege específicamente contra la inyección de código y biblioteca en los procesos en ejecución de una aplicación.
Al deshabilitar la validación de la biblioteca, Microsoft esencialmente ha dado una oportunidad para que los atacantes eludan las protecciones e introduzcan una biblioteca arbitraria en los procesos en ejecución de la aplicación, dijo Cisco Talos.
Soroko afirma que la facilidad para explotar este problema varía. “Si bien los ataques de inyección de bibliotecas requieren habilidades técnicas, el hecho de que estas vulnerabilidades existan en aplicaciones ampliamente utilizadas como Teams y Outlook aumenta el perfil de riesgo. Un atacante con suficiente conocimiento podría explotar estas fallas, particularmente en entornos con prácticas de seguridad relajadas”.
Recomienda que las organizaciones revisen y ajusten los permisos de las aplicaciones e implementen un monitoreo para detectar actividad inusual.
