MacOS破解背后30年的文件格式

3139870

# P; [1 Y3 o0 F& F1 Y$ UMacOS破解背后30年的文件格式
+ \+ U# D* n! V5 D5 m$ A
0 N2 O: @. Y* c" F( t- N9 G  X6 b2 }一位前国家安全局安全专家在本周黑帽安全会议上致辞，总结了他对非常古老的漏洞利用的新用途的研究。
* ^7 L2 `" A  j


Patrick Wardle解释说，此漏洞利用利用了Microsoft Office中的宏。长期以来，黑客一直使用这种方法来诱骗用户授予激活宏的权限，从而反过来秘密启动恶意代码。

但是Wardle指出，使用此类宏对Mac系统的攻击始于2017年左右。2018年，互联网安全公司Kaspersky发现证据表明，朝鲜黑客感染了加密货币交易所，这被认为是MacOS系统上的首次此类攻击。根据去年联合国发布的一份报告，居住在世界上最压抑的政权下的黑客可能已经获得了高达20亿美元的加密货币黑客攻击。
7 C$ j$ {0 F& _' V
黑客程序利用了另外两个弱点，其中一个是近30年的文件格式，近年来很少使用。尽管Microsoft Office通常在执行宏之前提示用户，但是旧的SYLK Excel文件格式(.SLK)不会触发提示。因此，它可以用来绕过安全线。

1 b3 ^1 A8 \- J3 E. y& GWardle指出，Microsoft Office处理旧文件的代码与处理新文件的代码不同。
$ |1 s1 C( @+ H+ k+ M
6 c$ x9 \2 I& y& LWardle说，当研究人员去年向Apple警告.SLK漏洞时，微软拒绝发布补丁程序，声称恶意代码将包含在安全的Microsoft Office沙箱环境中。

* b) M, |) ^& g& h( i3 D1 t5 a' z5 s( sWardle狡猾地宣称：“在NSA工作破坏了我的思想，并充满了邪恶的想法，” Wardle开始测试沙盒保护的边界。在几天之内，他发现了一个漏洞。
, t3 _! g. y0 `( Z  M+ v( X
他了解到，通过以“ $”字符开头的文件名，文件可以脱离沙箱并避免被检测到。
6 ]  E7 l" f5 j: U& Z0 G9 v5 a( ~
“安全研究人员喜欢这些古老的文件格式，因为它们是在没人考虑安全的时候创建的，” Wardle告诉Motherboard。

stftu

6666666666