|
发表于 2020-9-21
|
|阅读模式
+ \7 h/ {' N9 l0 O( N
MacOS破解背后30年的文件格式
/ j0 E# V0 q3 ~! T7 e2 u3 q$ ~ / z* u& b1 p/ y; Z% v9 Z4 O! j
一位前国家安全局安全专家在本周黑帽安全会议上致辞,总结了他对非常古老的漏洞利用的新用途的研究。
" }# {* u7 [2 |6 k. B9 P. w; m B( ~, A& }: m
* A2 n- h& Q' S# s" C+ b5 J; E; O8 v
! Z, P4 b/ M# Q) H2 X
Patrick Wardle解释说,此漏洞利用利用了Microsoft Office中的宏。长期以来,黑客一直使用这种方法来诱骗用户授予激活宏的权限,从而反过来秘密启动恶意代码。
+ [& v( ?6 V$ H; G, Z* ]1 W- V
5 y, ^, K) t: o+ ~6 x, X: m但是Wardle指出,使用此类宏对Mac系统的攻击始于2017年左右。2018年,互联网安全公司Kaspersky发现证据表明,朝鲜黑客感染了加密货币交易所,这被认为是MacOS系统上的首次此类攻击。根据去年联合国发布的一份报告,居住在世界上最压抑的政权下的黑客可能已经获得了高达20亿美元的加密货币黑客攻击。( F" O0 x7 g0 r! p
& u7 A8 q! M2 n- c" Q/ t' m! V黑客程序利用了另外两个弱点,其中一个是近30年的文件格式,近年来很少使用。尽管Microsoft Office通常在执行宏之前提示用户,但是旧的SYLK Excel文件格式(.SLK)不会触发提示。因此,它可以用来绕过安全线。% t1 U0 D# s" a8 | @% K8 ?
8 R3 s; i ^' J0 K
Wardle指出,Microsoft Office处理旧文件的代码与处理新文件的代码不同。8 T' Q7 H2 p6 W- D9 O* z
' f0 q% o1 @6 G. F9 q- j% P1 O- hWardle说,当研究人员去年向Apple警告.SLK漏洞时,微软拒绝发布补丁程序,声称恶意代码将包含在安全的Microsoft Office沙箱环境中。5 B4 C6 C6 g1 X+ `
2 u, y% A: S2 f2 ]# QWardle狡猾地宣称:“在NSA工作破坏了我的思想,并充满了邪恶的想法,” Wardle开始测试沙盒保护的边界。在几天之内,他发现了一个漏洞。8 N* c7 z! e0 {+ a
! n8 x. I y' d$ K
他了解到,通过以“ $”字符开头的文件名,文件可以脱离沙箱并避免被检测到。; B: k; a* ?$ A1 H+ V$ E
- c! m2 E$ ^# J) h$ F S- T
“安全研究人员喜欢这些古老的文件格式,因为它们是在没人考虑安全的时候创建的,” Wardle告诉Motherboard。 |
|