Badacze bezpieczeństwa z Cisco Talos odkryli kilka luk w aplikacjach Microsoftu dla systemu operacyjnego macOS firmy Apple. Ich działanie umożliwia inwigilację użytkowników komputerów Mac, w tym uzyskanie dostępu do kamery i mikrofonu zaatakowanego urządzenia.
W publikacji Cisco Talos badacze szczegółowo zbadali, w jaki sposób osoby atakujące mogą wykorzystywać luki w aplikacjach Microsoft dla systemu macOS, takich jak Outlook czy Teams, w celu uzyskania dostępu do kamery lub mikrofonu urządzenia bez zgody użytkownika. Atak polega na wprowadzeniu szkodliwych bibliotek do aplikacji firmy Microsoft w celu uzyskania praw i uprawnień podobnych do tych, które użytkownik nadał już legalnym produktom.
w systemie macOS dostępna jest usługa o nazwie Transparency Consent and Control (TCC), która służy do zarządzania uprawnieniami aplikacji, w tym lokalizacją urządzenia, kamerą, mikrofonem, zdjęciami i nie tylko. Każda aplikacja musi uzyskać pozwolenie TCC, aby przyznać uprawnienia. Jednak exploit oparty na lukach w zabezpieczeniach aplikacji Microsoftu umożliwia złośliwemu oprogramowaniu korzystanie z uprawnień, które zostały już przyznane produktom oprogramowania tego giganta.
„Zidentyfikowaliśmy osiem luk w różnych aplikacjach Microsoftu dla systemu macOS, które mogą umożliwić atakującym ominięcie mechanizmu uprawnień systemu operacyjnego poprzez wykorzystanie istniejących uprawnień bez konieczności dodatkowej weryfikacji użytkownika” – stwierdzili badacze w oświadczeniu.
Na przykład haker może stworzyć złośliwe oprogramowanie do nagrywania dźwięku z mikrofonu lub robienia zdjęć bez jakiejkolwiek interakcji ze strony użytkownika urządzenia. Należy zauważyć, że wszystkie problematyczne aplikacje, z wyjątkiem Excela, mają możliwość nagrywania dźwięku, a niektóre mają dostęp do kamery.
Z dostępnych danych wynika, że Microsoft pracuje już nad łatką, która wyeliminuje znalezione w jego produktach luki dla systemu macOS. Problem został już rozwiązany w aplikacjach Teams i OneNote, ale nadal wpływa na programy Excel, PowerPoint, Word i Outlook. Exploit stworzony przez badaczy nie został uznany przez firmę za niebezpieczny, ponieważ polega na ładowaniu niepodpisanych bibliotek w celu obsługi wtyczek innych firm. Bardziej szczegółowe informacje na ten temat znajdziesz na blogu Cisco Talos.