|
|
发表于 2020-9-21
|
|阅读模式
% Q0 k2 {; m* X/ _9 Q9 M% a
MacOS破解背后30年的文件格式
( Y$ R8 _" B0 p9 W3 Y
0 L; _- g9 Y0 d一位前国家安全局安全专家在本周黑帽安全会议上致辞,总结了他对非常古老的漏洞利用的新用途的研究。
' O" o4 u, a; r, P& n% I3 C9 I2 j8 v
7 u C- s- a1 X+ o
- b1 K2 l! X0 n& H# G& [/ I/ W0 o
6 w1 z8 T. W3 c+ G: F) g+ APatrick Wardle解释说,此漏洞利用利用了Microsoft Office中的宏。长期以来,黑客一直使用这种方法来诱骗用户授予激活宏的权限,从而反过来秘密启动恶意代码。
3 P$ ]' C, ?9 G/ v! Y. a7 g
1 s2 U% h) H9 W1 t0 p. K$ C但是Wardle指出,使用此类宏对Mac系统的攻击始于2017年左右。2018年,互联网安全公司Kaspersky发现证据表明,朝鲜黑客感染了加密货币交易所,这被认为是MacOS系统上的首次此类攻击。根据去年联合国发布的一份报告,居住在世界上最压抑的政权下的黑客可能已经获得了高达20亿美元的加密货币黑客攻击。
, y" V9 {$ o' H( E: }6 w, S- E6 X" K7 j6 Q7 w4 s5 X
黑客程序利用了另外两个弱点,其中一个是近30年的文件格式,近年来很少使用。尽管Microsoft Office通常在执行宏之前提示用户,但是旧的SYLK Excel文件格式(.SLK)不会触发提示。因此,它可以用来绕过安全线。
& f; D! J8 e5 j% ]+ E4 C* [ X+ {. G* L; {& ?6 b' y# u/ K* O
Wardle指出,Microsoft Office处理旧文件的代码与处理新文件的代码不同。
1 C) [7 r4 O" z2 [
" n; K& P2 B8 i" q# G% W6 wWardle说,当研究人员去年向Apple警告.SLK漏洞时,微软拒绝发布补丁程序,声称恶意代码将包含在安全的Microsoft Office沙箱环境中。8 [8 f1 s b% \1 c
0 U* A* K) M! O: i6 t6 K
Wardle狡猾地宣称:“在NSA工作破坏了我的思想,并充满了邪恶的想法,” Wardle开始测试沙盒保护的边界。在几天之内,他发现了一个漏洞。
( M' Z4 j) u8 @2 ~
1 r. @% P8 C& l7 B/ x& L p他了解到,通过以“ $”字符开头的文件名,文件可以脱离沙箱并避免被检测到。) q* l V' {6 c
; L& x4 i( o8 R0 `0 [) [7 z. D“安全研究人员喜欢这些古老的文件格式,因为它们是在没人考虑安全的时候创建的,” Wardle告诉Motherboard。 |
|
