Корпорация Майкрософт опубликовала эксплойт для уязвимости в macOS, которая может помочь злоумышленнику обойти ограничения песочницы и запустить код в системе.
Компания из Редмонда опубликовала технические сведения о проблеме безопасности, которая в настоящее время идентифицируется как CVE-2022-26706, и объяснила, как можно избежать правил macOS App Sandbox, чтобы позволить вредоносному макрокоду в документах Word выполнять команды злоумышленников на компьютере.
Злоупотребление макросами в документах Office для развертывания вредоносных программ уже давно является эффективным и популярным методом компрометации систем Windows.
И вот теперь то же самое может быть достигнуто на машинах macOS, не имеющих надлежащих обновлений безопасности, предупреждает Microsoft.
«Несмотря на ограничения безопасности, налагаемые правилами App Sandbox на приложения, злоумышленники могут обойти указанные правила и позволить вредоносным кодам «сбежать» из песочницы и выполнять произвольные команды на уязвимом устройстве»
— Microsoft
Джонатан Бар Ор (Jonathan Bar Or) из исследовательской группы Microsoft 365 Defender Research Team объясняет, что уязвимость была обнаружена при изучении методов запуска и обнаружения вредоносных макросов в документах Microsoft Office на macOS.
Чтобы обеспечить обратную совместимость, Microsoft Word может читать и записывать файлы с префиксом «~$», который определен в правилах песочницы приложения.
Код эксплойта размером в один твит
Изучив более старые отчеты о выходе из песочницы macOS, исследователи обнаружили, что использование Launch Services для выполнения команды open –stdin в специальном файле Python с вышеупомянутым префиксом позволяет избежать песочницы приложений на macOS, что потенциально приводит к компрометации системы.
Исследователи придумали доказательство концепции (PoC), которое использовало опцию -stdin для открытой команды в файле Python, чтобы обойти расширенное ограничение атрибутов «com.apple.quarantine».
Демонстрационный код эксплойта так же прост, как удаление файла Python, который содержит произвольные команды и имеет в своем имени специальный префикс для Word.
С помощью команды open -stdin приложение Python запускается со специально созданным файлом в качестве стандартного ввода.
«Python с радостью выполняет наш код, и, поскольку это дочерний процесс запуска, он не привязан к правилам песочницы Word»,
— Джонатан Ор Бар.
Исследователям даже удалось сжать код этого эксплойта настолько, что он помещается в один твит.
Microsoft сообщила об уязвимости компании Apple в прошлом году в октябре, а исправление было доставлено с обновлениями безопасности macOS в мае 2022 года (Big Sur 11.6.6)
Корпорация Microsof выражает благодарность в раскрытии проблемы исследователю безопасности, Арсению Костромину, который обнаружил её самостоятельно.