|
|
发表于 2020-8-11
|
|阅读模式
/ t& r9 W1 f0 r: i0 w7 \/ IMacOS破解背后30年的文件格式( E1 ^3 T3 ~: h, r ]( P2 x( E) ]
' l9 N' `) \1 G; V
一位前国家安全局安全专家在本周黑帽安全会议上致辞,总结了他对非常古老的漏洞利用的新用途的研究。
1 Q2 j6 X J# R, N3 k" p0 X
9 y* O7 a% y; V, l& S
: I: F0 p; o) @. k& }7 e
; o( }7 D7 o5 B# F( p6 E5 P' }Patrick Wardle解释说,此漏洞利用利用了Microsoft Office中的宏。长期以来,黑客一直使用这种方法来诱骗用户授予激活宏的权限,从而反过来秘密启动恶意代码。
w: i: d8 [; u2 _' }* C/ x1 l% \& b" W( ~
但是Wardle指出,使用此类宏对Mac系统的攻击始于2017年左右。2018年,互联网安全公司Kaspersky发现证据表明,朝鲜黑客感染了加密货币交易所,这被认为是MacOS系统上的首次此类攻击。根据去年联合国发布的一份报告,居住在世界上最压抑的政权下的黑客可能已经获得了高达20亿美元的加密货币黑客攻击。5 j: x2 c; O7 P- c% b1 F% r
8 U- \" [! q# F黑客程序利用了另外两个弱点,其中一个是近30年的文件格式,近年来很少使用。尽管Microsoft Office通常在执行宏之前提示用户,但是旧的SYLK Excel文件格式(.SLK)不会触发提示。因此,它可以用来绕过安全线。
! m. k/ @7 s o! I ~3 j4 I
: i4 z. F3 B0 }! |, N Q9 n$ b1 dWardle指出,Microsoft Office处理旧文件的代码与处理新文件的代码不同。
. t, |, ?& A$ G2 B- g0 W3 V2 U9 w9 h0 c1 a U2 R# u
Wardle说,当研究人员去年向Apple警告.SLK漏洞时,微软拒绝发布补丁程序,声称恶意代码将包含在安全的Microsoft Office沙箱环境中。9 O- [2 H' q( C5 e$ ^& }
+ ?' C6 U# Y* ?Wardle狡猾地宣称:“在NSA工作破坏了我的思想,并充满了邪恶的想法,” Wardle开始测试沙盒保护的边界。在几天之内,他发现了一个漏洞。2 K+ d- n0 ~. J( Y
. I. z Y' H4 c7 f
他了解到,通过以“ $”字符开头的文件名,文件可以脱离沙箱并避免被检测到。
/ U5 d V8 }, j. V$ }
/ n9 O% `. F6 D# c2 m“安全研究人员喜欢这些古老的文件格式,因为它们是在没人考虑安全的时候创建的,” Wardle告诉Motherboard。 |
|
