|
|
发表于 2020-9-21
|
|阅读模式
& B+ q3 h# U7 q/ V4 Q# A
MacOS破解背后30年的文件格式
/ L5 g" T9 q2 w3 Q1 j , ], f& ^) ]8 F: S2 d& U
一位前国家安全局安全专家在本周黑帽安全会议上致辞,总结了他对非常古老的漏洞利用的新用途的研究。
. O( ^( l6 Q* h6 S/ {6 |
1 F3 P* X$ Z9 K. c% y' `
) t, M7 H7 r) y- l! v+ G! j1 [; t( W) o, ?2 F
Patrick Wardle解释说,此漏洞利用利用了Microsoft Office中的宏。长期以来,黑客一直使用这种方法来诱骗用户授予激活宏的权限,从而反过来秘密启动恶意代码。
/ ?4 x/ K8 ^3 q# m$ k+ }+ P3 h3 P6 W7 O" _. ~
但是Wardle指出,使用此类宏对Mac系统的攻击始于2017年左右。2018年,互联网安全公司Kaspersky发现证据表明,朝鲜黑客感染了加密货币交易所,这被认为是MacOS系统上的首次此类攻击。根据去年联合国发布的一份报告,居住在世界上最压抑的政权下的黑客可能已经获得了高达20亿美元的加密货币黑客攻击。
5 [! B$ z+ s5 `4 q1 C K# `
' D$ P1 L" P7 k8 H9 O% _8 c, K黑客程序利用了另外两个弱点,其中一个是近30年的文件格式,近年来很少使用。尽管Microsoft Office通常在执行宏之前提示用户,但是旧的SYLK Excel文件格式(.SLK)不会触发提示。因此,它可以用来绕过安全线。" W" q( F: r+ p! G+ Q
0 o9 ~0 v* |# ?$ o" c1 x( \& RWardle指出,Microsoft Office处理旧文件的代码与处理新文件的代码不同。# I; c1 X. e9 t7 G
3 s D2 G% R* N% u6 h% P/ {# mWardle说,当研究人员去年向Apple警告.SLK漏洞时,微软拒绝发布补丁程序,声称恶意代码将包含在安全的Microsoft Office沙箱环境中。& D% U1 N5 A% s
( r5 b* t0 P6 p& o+ ~0 r( D! JWardle狡猾地宣称:“在NSA工作破坏了我的思想,并充满了邪恶的想法,” Wardle开始测试沙盒保护的边界。在几天之内,他发现了一个漏洞。 G1 _! s j# Z/ w8 q; p1 Y
! j; _# }2 R# c% q
他了解到,通过以“ $”字符开头的文件名,文件可以脱离沙箱并避免被检测到。+ E8 A/ S. m, _2 g. G
8 n4 K3 l7 ?7 R% v: Q+ D“安全研究人员喜欢这些古老的文件格式,因为它们是在没人考虑安全的时候创建的,” Wardle告诉Motherboard。 |
|
