Un formato di file degli anni '80 abilitato l'hacking furtivo del Mac

un-formato-di-file-degli-anni-'80-abilitato-l'hacking-furtivo-del-mac

Le macro di Microsoft Office sono state a lungo uno strumento rozzo ma efficace nelle mani degli hacker: ingannare qualcuno per aprire un allegato e fare clic su ” consentire “per abilitare le macro e un semplice documento di Word può eseguire uno script di comandi che funge da primo passo per assumere il controllo del proprio dispositivo. Mentre questo trucco macro è stato sempre più utilizzato per indirizzare Microsoft Office su macOS, un hacker Mac ha cercato un metodo più furtivo e più affidabile per sfruttarlo. Ne trovò uno in un oscuro, 17 – anno- vecchio formato di file.

Alla conferenza sulla sicurezza di Black Hat oggi, l'ex hacker NSA Patrick Wardle ha in programma di dettagliare quella tecnica, che sfrutta una serie di vulnerabilità sia in Microsoft Office che in macOS per ottenere pieno accesso al Mac target . Uno di questi bug riguarda il modo in cui Excel gestisce un certo tipo di file, in gran parte obsoleto, chiamato Symbolic Link. SYLK non è stato in uso da quando 1980, ma ha fornito un collegamento nella catena che ha bypassato completamente le restrizioni di sicurezza di Microsoft Office sulle macro. Combinata con altre vulnerabilità in macOS, la tecnica di Wardle – che Apple ha corretto dopo aver avvisato l'azienda all'inizio di quest'anno – avrebbe consentito a un hacker di assumere un computer di destinazione senza preavviso quando il suo obiettivo si limitava a fare clic su un allegato dannoso.

“Il sistema è interamente di proprietà e infetto”, afferma Wardle, principale ricercatore di sicurezza presso la società di sicurezza focalizzata su Apple Jamf e l'autore dell'imminente The Art of Mac Malware . “E non c'è alcun segno che l'attacco si stia verificando.”

Wardle afferma di essere diventato curioso per la prima volta sugli attacchi macro mirati a Mac in giro 2017, quando le compagnie di sicurezza iniziarono a avvertire del loro uso contro i clienti Apple anziché le tipiche vittime di Windows. Altri attacchi macro mirati al Mac sono emersi in 2011 e 2019, inclusa la scoperta di Kaspersky in 2019 che gli hacker nordcoreani apparentemente usavano macro per rubare criptovaluta dagli utenti Mac . Man mano che i Mac diventavano sempre più diffusi sul posto di lavoro, anche la minaccia derivava da attacchi basati su macro.

“Stavamo vedendo interesse da parte di gruppi di hacker. Quindi mi chiedevo, le cose potrebbero andare peggio? qualcosa a cui dovremmo prestare maggiore attenzione o sono questi attacchi zoppi? ” Dice Wardle. Così ha deciso di vedere se poteva sviluppare un attacco macro più mirato per Mac, che non avrebbe richiesto alla vittima di fare clic su “consenti” e che non sarebbe stato limitato al cosiddetto sandbox che limita l'accesso di un'applicazione a il resto del computer, impedendogli di rubare file o installare malware persistente. “Lavorare alla NSA mi ha corrotto la mente e riempito di idee malvagie”, afferma Wardle. “In pratica volevo inventare un attacco a macroistruzione che non sarei imbarazzato da usare contro un bersaglio.”

Nell'ottobre dello scorso anno, Wardle ha visto che i ricercatori olandesi Stan Hegt e Pieter Ceelen hanno rivelato un bug interessante in Microsoft Office. Excel non è riuscito a avvisare l'utente prima di eseguire qualsiasi macro contenuta in un file nel formato di file SYLK, un tipo di file quasi dimenticato ma uno con cui Microsoft Office aveva mantenuto la compatibilità. Il trucco ha funzionato per impostazione predefinita in una versione 2011 di Microsoft Office, ignorando qualsiasi avviso macro. Ma funzionava anche, ironicamente, nelle versioni più recenti quando un utente o un amministratore avevano impostato il programma sulla sua configurazione più sicura . Quando Excel è stato impostato per disabilitare tutte le macro senza preavviso per l'utente, ha invece eseguito automaticamente le macro di file SYLK.

La vulnerabilità, spiega Hegt, deriva dall'uso da parte di Microsoft di codice completamente diverso da gestire i vecchi file SYLK rispetto al codice utilizzato per gestire formati di file più recenti. “Esistono due diversi macromotori in un unico prodotto, ed è un punto di partenza molto interessante per la ricerca”, afferma Hegt.

I ricercatori olandesi hanno avvertito Microsoft della vulnerabilità, ma la società non ha fatto emettere una patch, in parte perché un hacker che la usava sarebbe rimasto bloccato nella sandbox di Microsoft Office. Ma Wardle impiegò solo due giorni di lavoro, dice, per mettere insieme una serie di trucchi per uscire dalla quarantena di Microsoft Office e nel resto del computer.

Quella catena iniziò con un altro bug noto ma non corretto che consentiva a Wardle di usare un'API per piantare un file al di fuori di sandbox se aveva i caratteri “~ $” all'inizio del nome del file. Ha pensato di utilizzare quel bug per aggiungere un “elemento di accesso” che viene eseguito automaticamente quando un utente accede. Ma macOS ha una misura di sicurezza “notarile” che esegue solo elementi di accesso approvati da Apple, ostacolando tale percorso. Invece, Wardle ha scoperto che poteva eludere quella protezione impacchettando il file come file compresso .zip. Ciò significava che Unarchiver, un'app autenticata, sarebbe stata eseguita automaticamente e avrebbe decompresso il file, che a sua volta avrebbe installato un “agente di avvio” che verrà eseguito al successivo riavvio del computer. Quell'agente di lancio utilizza quindi lo strumento da riga di comando Bash per installare ed eseguire qualsiasi malware scelto da Wardle.

Complessivamente, ciò significa che una vittima inconsapevole deve aprire un allegato malevolo solo una volta. Dopo il riavvio o il logout successivo dal proprio account sul Mac due volte, il malware assume il pieno controllo del proprio computer. “Richiede all'utente di accedere due volte”, afferma Wardle. “Ma posso aspettare.”

Wardle ha avvisato sia Microsoft che Apple della sua tecnica di hacking nel novembre dello scorso anno, e Apple ha rilasciato una patch all'inizio di quest'anno su MacOS 10. 15 3, sebbene nessuna delle due società abbia chiarito quali parti di La catena di vulnerabilità di Wardle è stata risolta e rimane. Microsoft, ad esempio, ha sterilizzato il bug del formato di file SYLK in Microsoft Office, ma ha implicato in una dichiarazione a WIRED che le macro possono ancora essere utilizzate per uscire dalla sandbox di Office su macOS. “Abbiamo studiato e stabilito che qualsiasi applicazione, anche se in modalità sandbox, è vulnerabile all'uso improprio di queste API”, ha scritto un portavoce di Microsoft. “Stiamo discutendo regolarmente con Apple per identificare soluzioni a questi problemi e supportare, se necessario”. Apple non ha risposto alla richiesta di commento di WIRED.

Ma Wardle sostiene che la sua ricerca dovrebbe servire da esempio di quanto sia ampia la “superficie di attacco” di Microsoft Office, specialmente il meno- versione esaminata per Mac e prevede che ci saranno ulteriori attacchi macro mirati per Mac. “Sono stato sorpreso di quanto sia stato facile”, afferma. “Ho esperienza nel farlo, ma sarebbe arrogante per me pensare che gruppi di hacker dotati di risorse adeguate non lo stiano guardando e non abbiano talenti simili, se non di più. È un vettore di attacco molto ampio. Sufficientemente gli hacker dotati di risorse e intelligenti troveranno il modo di ottenere l'accesso e persistere sui sistemi Mac. “

” Il fatto che ora abbia creato una catena di exploit completa dimostra sicuramente un punto “, afferma Hegt Il lavoro di Wardle. Sostiene che bug come la vulnerabilità SYLK che ha consentito un attacco macro macOS sovralimentato non sono stati tutti corretti. “Sono abbastanza sicuro che se scavi in ​​profondità in Office, specialmente sui Mac, c'è più merda da scoprire lì.”


Altre fantastiche storie CABLATE