微軟的安全設置反而導致 Mac 用戶不安全
作者:星期四, 十一月 14, 20190

位于卡內基梅隆大學的計算機緊急事件響應小組/協調中心 (Computer Emergency Response Team/Coordination Center, CERT/CC) 表示,Excel 對舊宏格式的處理為未經身份驗證的遠程攻擊者提供了一種控制易受攻擊系統的方法。

微軟為保護用戶免受網絡威脅而設計的安全設置,實際上會讓運行最新版 Mac Office 的用戶更容易受到遠程攻擊。

位于卡耐基梅隆大學的計算機緊急事件響應小組/協調中心 (CERT/CC) 周五警告道,運行在 Mac 上的 Microsoft Office ——包括打了補丁的 Office 2016 和 Office 2019 版本——可能會受到遠程攻擊,因為Excel中有一個涉及 XLM(一種舊的宏格式)的小漏洞。

當用戶將 Excel 配置為禁用所有宏而不進行通知時,這個漏洞反而導致 XLM 宏可以在無任何提示的情況下在易受攻擊的系統上運行。

在上周五的一份報告中,位于卡內基梅隆大學的 CERT/CC 稱,這個問題能夠讓未經身份驗證的遠程攻擊者在 Mac 上運行的 Office 上執行任意代碼。

CERT/CC 在其漏洞說明中表示,通過說服用戶在 Mac 電腦上打開專門制作的 Microsoft Excel 內容,并啟用 “禁用所有宏而無需通知” 的功能,遠程攻擊者可以獲得與合法用戶相同的系統訪問權限。

攻擊者可以利用這個漏洞為所欲為。他們可以安裝病毒,竊取私人文件,或者安裝勒索軟件。無所限制。

微軟發言人在一份聲明中表示,微軟會全面調查報告的安全事件。

Dormann 表示,問題在于 Microsoft Excel 處理 SYLK(符號鏈接)文件中的 XLM 內容的方式。

XLM 是一種宏格式,在以前的 Excel 版本(包括 Excel 4.0)中可用。盡管此后的 Excel 版本都使用 VBA 宏,但微軟在后來的 Excel 版本中繼續支持 XLM 宏,包括最新的 Mac Office 版本。

SYLK 本身是一種文件格式,在 20 世紀 80 年代就出現了,SYLK 文件被用于在電子表格、數據庫和其他應用程序之間傳輸數據。盡管現在很少使用 SYLK 文件,但是最近的 Office 和 Excel 版本仍然支持 SYLK 文件。

SYLK 文件中的宏是有問題的,因為 Microsoft Office 不會在受保護的視圖中打開它們——這是一種防止 Office 從不安全的地方下載文件的機制,CERT/CC 說道。因此,SYLK 文件為攻擊者制造了一個機會,可以在設備上偷偷運行惡意代碼,而不會觸發任何常規的微軟安全警報。

Dormann 表示,去年 IT 安全公司 Outflank 的研究人員展示了攻擊者如何將惡意的 XLM 內容嵌入到一個 SYLK 文件中,并讓它在 Mac 的 Office 2011 中自動執行,而不會觸發任何用戶警告或宏提示。

當時,微軟指出不再支持 Mac Excel 2011,因此不符合安全更新的條件,Dormann 說道。微軟指出 Mac Excel 2016 和 Mac Excel 2019 在相同情況下能做出正確的響應,Dormann 表示。

但現實是盡管 Excel 2016 和 2019 確實會在 SYLK 文件中的 XLM 宏運行之前進行提示,但這些提示只有在默認安全設置為 “禁用所有宏并進行通知” 的情況下才會出現,他說道。

如果用戶進一步選擇 “禁用所有宏而無需通知選項”,則 XLM 宏將執行相反的操作。Dormann 指出,這時候 XLM 宏運行時不會產生任何宏提示,而且不僅是在 Mac Office 2011 中是如此,Mac Office 2016 和 Office 2019 也會出現同樣的情況。

這顯然是一個錯誤。微軟可以修復 Mac 版 Excel 在處理宏設置時的邏輯錯誤,但這需要他們同時修復軟件并部署修復后的版本。

在此之前,Mac 用戶的最佳選擇是使用 “禁用所有宏并進行通知” 設置。這種設置的代價是增加了現代 (VBA) 宏帶來的風險,但是會防止 SYLK 中 XLM 宏自動執行。

自從 Outflank 發布在 SYLK 文件中使用 XLM 宏的技術以來,攻擊者就一直在利用這一點,Dormann 說道。CERT/CC 發布了一個有關安全設置的新建議 “具有諷刺意味的是,這個本應該保護Mac系統不受該技術利用的安全設置反而讓Mac更容易受到攻擊”,他補充道。

相關閱讀

 

前NSA研究員發現Mac漏洞 安全提示可被“合成點擊”繞過

 

關鍵詞:

相關文章

寫一條評論

 

 

0條評論