|
|
发表于 2020-8-11
|
|阅读模式
3 @& Y; f+ L6 c9 i5 a' t
MacOS破解背后30年的文件格式
7 {! u0 v" X. ~3 ~ # ~3 \7 [/ Y& k8 f& }
一位前国家安全局安全专家在本周黑帽安全会议上致辞,总结了他对非常古老的漏洞利用的新用途的研究。
2 {' O" z: \0 j! n w
: `. o9 s _% n7 k& ]1 W2 B1 L
: d% M, V s6 s+ ^6 c/ @+ k2 w1 t7 F& Z A( t
Patrick Wardle解释说,此漏洞利用利用了Microsoft Office中的宏。长期以来,黑客一直使用这种方法来诱骗用户授予激活宏的权限,从而反过来秘密启动恶意代码。; i0 }6 ]/ F {9 k3 Y) }
5 j* r7 V. m" p$ ]0 ` k
但是Wardle指出,使用此类宏对Mac系统的攻击始于2017年左右。2018年,互联网安全公司Kaspersky发现证据表明,朝鲜黑客感染了加密货币交易所,这被认为是MacOS系统上的首次此类攻击。根据去年联合国发布的一份报告,居住在世界上最压抑的政权下的黑客可能已经获得了高达20亿美元的加密货币黑客攻击。' a7 T. c2 N$ P3 R" W# `; L
3 m% u6 b3 E0 T: i- X$ l黑客程序利用了另外两个弱点,其中一个是近30年的文件格式,近年来很少使用。尽管Microsoft Office通常在执行宏之前提示用户,但是旧的SYLK Excel文件格式(.SLK)不会触发提示。因此,它可以用来绕过安全线。
) E& ]2 y2 p4 S# C# o" O4 ?0 E, _6 L0 q* [7 a/ C
Wardle指出,Microsoft Office处理旧文件的代码与处理新文件的代码不同。( ^$ ?5 W# E0 ~# i2 ^- p3 w
$ z* A Z3 E: t% q' Q# I1 U
Wardle说,当研究人员去年向Apple警告.SLK漏洞时,微软拒绝发布补丁程序,声称恶意代码将包含在安全的Microsoft Office沙箱环境中。: _8 X+ M7 _( A2 T# V* y. G
/ e! X7 ]: ^5 T) q+ d
Wardle狡猾地宣称:“在NSA工作破坏了我的思想,并充满了邪恶的想法,” Wardle开始测试沙盒保护的边界。在几天之内,他发现了一个漏洞。
x1 I( w' c) f% \% ]
! c9 P: M6 d9 M( `3 g他了解到,通过以“ $”字符开头的文件名,文件可以脱离沙箱并避免被检测到。
5 p8 Y9 j7 S4 i: l/ S4 a
, }2 v4 O+ e7 z2 X“安全研究人员喜欢这些古老的文件格式,因为它们是在没人考虑安全的时候创建的,” Wardle告诉Motherboard。 |
|
