Microsoft ha svelato un difetto in macOS che, se sfruttato, potrebbe consentire agli hacker di eseguire in remoto codice arbitrario. Il difetto, tracciato come CVE-2022-26706, ignora le regole sandbox dell'app macOS, consentendo l'esecuzione delle macro nei documenti di Word.
Per anni, molti attori delle minacce hanno utilizzato le macro per indurre le persone a scaricare malware (si apre in una nuova scheda) o ransomware sui propri dispositivi. È arrivato a un punto in cui Microsoft ha deciso di disabilitare le macro su tutti i file al di fuori della rete attendibile e di renderle abbastanza difficili per l'utente medio di Word.
Ora, Microsoft avverte che la pratica può essere utilizzata anche su dispositivi macOS:
Esegui comandi arbitrari
"Nonostante le restrizioni di sicurezza imposte dalle regole di App Sandbox sulle app, è possibile che gli aggressori eludano tali regole e consentano al codice dannoso di 'fuoriuscire' dalla sandbox ed eseguire comandi arbitrari su un dispositivo interessato", ha spiegato l'azienda.
Il difetto è stato scoperto dal team di ricerca di Microsoft 365 Defender e, secondo quanto riferito, è stato corretto da Apple il 16 maggio.
App Sandbox è una tecnologia integrata in macOS, che gestisce il controllo dell'accesso alle app. Come suggerisce il nome, il suo scopo è contenere eventuali danni che un'applicazione dannosa può causare e proteggere i dati sensibili.
Il problema inizia con la compatibilità con le versioni precedenti di Word. Per assicurarsi che funzioni, l'app può leggere o scrivere file con un prefisso "~€". Sfruttando i servizi di avvio di macOS per eseguire un comando open -stdin su un file Python appositamente predisposto con questo prefisso, l'attaccante può aggirare la sandbox, ha spiegato Microsoft.
Questo metodo consente inoltre agli attori delle minacce di aggirare le "caratteristiche di sicurezza integrate di base" in macOS, compromettendo così i dati del sistema e dell'utente.
Microsoft ha rilasciato un proof of concept, il cui codice è così semplice che puoi semplicemente rilasciare un file Python, con il prefisso sopra, con comandi arbitrari.
"Python esegue felicemente il nostro codice e, poiché è un processo figlio di launchd, non è legato alle regole sandbox di Word", ha affermato Microsoft.
Via: BleepingComputer (si apre in una nuova scheda)
