На конференції з інформаційної безпеки Black Hat 2020 фахівець Patrick Wardle з компанії Jamf розповів про низку експлойтів, що дозволяє обійти захист Microsoft від шкідливих макросів для зараження пристроїв під управлінням macOS.

Уразливості представляють собою так звані zero-click, тобто, для їх експлуатації участь жертви не потрібна. Вони дозволяють зловмисникам доставляти шкідливе ПЗ користувачам macOS за допомогою документа Microsoft Office з макросами. Атака обходить заходи безпеки, які Microsoft і Apple застосовують для захисту користувачів macOS від шкідливих макросів.

“Я виявив спосіб втечі з пісочниці і обходу нових вимог Apple щодо підтвердження автентичності, і об’єднав це з ще однією небезпечною уразливістю, щоб створити повний ланцюжок експлойтів zero-click “, – пояснив фахівець.

Першим кроком у ланцюжку експлойтів була раніше виявлена ​​небезпечна уразливість (CVE-2019-1457) обходу безпеки в Microsoft Office. Уразливість призводить до того, що XML-макроси в форматі файлу символьного посилання (SYLK) автоматично виконуються в Office 11 для Mac. Потім Patrick скористався способом втечі з пісочниці, виявленим в середині 2018 року. Повний обхід вимог Apple про підтвердження автентичності фахівцю з безпеки вдалося здійснити шляхом зловживання додатком Archive Utility в macOS. Він використовував zip-архів для входу в систему ~ / Library / ~ payload.zip, який був автоматично витягнутий (поза ізольованою програмного середовища) за допомогою утиліти архівування.

Якщо каталог LaunchAgent не існує (чого немає при встановленні macOS за замовчуванням), він буде створений з новим агентом запуску всередині і буде автоматично виконуватися на системі.

Експерт повідомив повідомив про свої знахідки Microsoft і Apple. Apple виправила проблеми в версії macOS 10.15.3, але сказала фахівцю, що “ця проблема не відповідає вимогам для присвоєння ідентифікатора CVE”. Microsoft повідомила його, що ланцюжок експлойтів є проблемою “на стороні Apple”.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як за допомогою задньої панелі iPhone швидко запускати дії чи команди? – Інструкція

Як налаштувати автоматичне очищення Кошика у Windows 10? – Інструкція

Як уникнути схем шахрайства в Інтернеті? Поради для користувачів старшого покоління

Інтернет-шахраї та псевдоволонтери: як розпізнати благодійну аферу? Поради

Яких заходів потрібно вживати компаніям для протидії та відновленню у випадку кібератак? Поради

Нагадаємо, нову уразливість, яка дозволяє зловмисникам отримати майже повний контроль над Wіndows або Linux системами, виявила компанія Eclypsium. За її словами, уразливими є мільярди пристроїв – від ноутбуків, настільних ПК, серверів і робочих станцій до банкоматів, верстатів з програмним управлінням, томографів та іншого обладнання спеціального призначення, яке використовується в промисловій, медичній, фінансовій та інших галузях.

Окрім цього, команда дослідників з Рурського університету в Бохумі (Німеччина) виявила нові методи атак на підписані PDF-файли. Так звана техніка Shadow Attack дозволяє хакеру приховувати і замінювати вміст в підписаному PDF-документі, не зачіпаючи цифровий підпис. Організації, урядові установи, підприємства та приватні особи часто підписують документи в форматі PDF для запобігання несанкціонованих змін. Якщо хтось вносить зміни в підписаний документ, підпис стає недійсним.

До речі, нову фішингову кампанію, націлена на користувачів WhatsApp, виявили фахівці з кібербезпеки. Цього разу зловмисники розсилають фішингові повідомлення, використовуючи бренд Nespresso. Жертву запрошують перейти за посиланням і відповісти на кілька запитань, щоб отримати в подарунок кавоварку.

Також співробітники компаній і організацій, які використовують програмне забезпечення Microsoft Office 365, стали жертвами фішинговою кампанії, в рамках якої зловмисники використовують повідомлення-приманки, замасковані під автоматичні повідомлення SharePoint, для крадіжки облікових даних.

Зауважте, що користувачі Microsoft Office 365 звинуватили компанію Microsoft в тому, що вона нібито ділиться бізнес-даними своїх клієнтів з розробниками додатків Facebook, партнерами та субпідрядниками, порушуючи політику конфіденційності.