|
|
发表于 2020-9-21
|
|阅读模式
O* ]: o, ]9 dMacOS破解背后30年的文件格式6 e9 \1 C6 A i. r6 v
$ p; {8 G) s$ ]; o一位前国家安全局安全专家在本周黑帽安全会议上致辞,总结了他对非常古老的漏洞利用的新用途的研究。
: B+ A. o* W* s% c7 k" W a: u0 E& b( V$ B, H
$ E, u% m! L0 p$ ]7 m2 j
( c# f4 c( h& b0 u+ E' @
Patrick Wardle解释说,此漏洞利用利用了Microsoft Office中的宏。长期以来,黑客一直使用这种方法来诱骗用户授予激活宏的权限,从而反过来秘密启动恶意代码。
9 |3 W* M% V/ L; M [" x) K( _' J
8 e3 B. `, J6 ]# c' ]但是Wardle指出,使用此类宏对Mac系统的攻击始于2017年左右。2018年,互联网安全公司Kaspersky发现证据表明,朝鲜黑客感染了加密货币交易所,这被认为是MacOS系统上的首次此类攻击。根据去年联合国发布的一份报告,居住在世界上最压抑的政权下的黑客可能已经获得了高达20亿美元的加密货币黑客攻击。 N0 `5 q, ?2 F/ a
3 [6 T! S, [9 v5 A t: J黑客程序利用了另外两个弱点,其中一个是近30年的文件格式,近年来很少使用。尽管Microsoft Office通常在执行宏之前提示用户,但是旧的SYLK Excel文件格式(.SLK)不会触发提示。因此,它可以用来绕过安全线。8 t' I8 `- N4 a7 o
p, y, `5 @3 r, P' f
Wardle指出,Microsoft Office处理旧文件的代码与处理新文件的代码不同。
% K2 o/ ?" V O: o) B
* z7 W$ M4 J$ |- gWardle说,当研究人员去年向Apple警告.SLK漏洞时,微软拒绝发布补丁程序,声称恶意代码将包含在安全的Microsoft Office沙箱环境中。
% R; m' D# k1 m c, v8 k3 k
7 O# u- G! ~; L" u) ?: mWardle狡猾地宣称:“在NSA工作破坏了我的思想,并充满了邪恶的想法,” Wardle开始测试沙盒保护的边界。在几天之内,他发现了一个漏洞。
& n1 d7 D" z: A6 d1 o% q+ L8 ?( e
d4 w" I' n+ w7 A& ]他了解到,通过以“ $”字符开头的文件名,文件可以脱离沙箱并避免被检测到。
& L8 t7 y: D7 w' N0 G- g% h
- W% o, W" s' r1 A# i) E“安全研究人员喜欢这些古老的文件格式,因为它们是在没人考虑安全的时候创建的,” Wardle告诉Motherboard。 |
|
