Investigador encuentra nuevos macroataques de Office para MacOS



Crear macroataques exitosos significa superar varias capas de seguridad, pero un altavoz de Black Hat encontró un camino.

Microsoft Office environment no es ajeno a las vulnerabilidades y exploits. La mayoría de esas vulnerabilidades derivaron de Microsoft Business office a Microsoft Windows, pero es posible que un atacante tome una ruta de explotación de Microsoft Office environment a macOS, una ruta que Patrick Wardle, investigador principal de seguridad de Jamf, discutió en su presentación el miércoles en Black Hat. ESTADOS UNIDOS.

Wardle comenzó señalando que las macros (código ejecutable insertado en documentos) se han explotado como vectores de ataque desde al menos 1999. En los últimos tres o cuatro años, dijo Wardle, más de estos exploits se han dirigido a objetivos macOS a medida que se han convertido en Mac. objetivos más atractivos debido a su mayor uso en entornos empresariales.

El lado humano
En la mayoría de los ataques basados ​​en macros, se requiere la intervención humana por parte de la víctima al menos una vez, y generalmente dos veces, dijo Wardle. Primero, la víctima debe hacer clic en un archivo adjunto de correo electrónico o en un enlace malicioso para descargar y abrir el documento infectado. A continuación, en la mayoría de los casos, las macros no se ejecutarán en un sistema de forma predeterminada el usuario debe otorgarles un permiso explícito para ejecutarse.

La mayoría de los ataques basados ​​en macros tienen dos etapas, explicó Wardle. En la primera, la etapa en la que la víctima tiene permiso explícito para ejecutarse, se ejecuta un código que verifica el estado del sistema, verifica la presencia de program anti-malware y luego descarga la segunda etapa. Es la carga útil de la segunda etapa que contiene el código «de trabajo» del ataque, ya sea robando credenciales, creando un bot o cifrando los datos del sistema como parte de un esquema de ransomware.

Fuera de la caja (arena)
Los creadores de malware modernos tienen un obstáculo adicional que superar. Microsoft Workplace ahora ejecuta todas las macros en una «caja de arena», un entorno aislado dentro del sistema operativo que evita que el código gane persistencia o interactúe con el sistema en su conjunto. El objetivo de los creadores de malware es salir de la zona de pruebas.

Wardle dijo que los investigadores Pieter Ceelen y Stan Hegt encontró formas de incluir archivos SYLK y código XLM que hacen que las macros se ejecuten tanto si se invocan como si no se permiten. Todavía corren dentro de la caja de arena. Wardle demostró que es posible crear archivos a través de una macro: archivos que se pueden colocar fuera de la macro y se pueden construir para que se ejecuten automáticamente al arrancar el sistema. Esa combinación es la clave de la perseverancia, uno de los billetes de oro que persiguen los atacantes en cualquier campaña.

¿Qué tipo de archivos se ajustan al proyecto de ley doble? Wardle descubrió que un archivo ZIP, colocado en el subdirectorio adecuado, se invoca automáticamente. Si bien el último marco de seguridad de punto remaining de macOS debería detectar la creación de un archivo de este tipo, Wardle dijo que hay espacio para la investigación aquí.

Cuando un miembro de la audiencia le preguntó cómo decide qué áreas seguir en su investigación, Wardle dijo que analiza las vulnerabilidades y exposiciones comunes y sus parches, especialmente los parches que son muy específicos, y se pregunta si puede haber formas de evitarlos. Además, dijo, se mantiene al tanto de la investigación y encuentra que otros investigadores son una fuente constante de inspiración.

Contenido relacionado

Curtis Franklin Jr. es editor senior de Dark Looking at. En esta función, se centra en la cobertura de productos y tecnología para la publicación. Además, trabaja en programación de audio y video clip para Dim Looking at y contribuye a actividades en Interop ITX, Black Hat, INsecurity y … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial