Varias aplicaciones de Microsoft diseñadas específicamente para el sistema operativo Apple macOS corren el riesgo de ser subvertidas por actores maliciosos, según una investigación publicada por Cisco Talos.
El investigador de Talos, Francesco Benvenuto, encontró ocho vulnerabilidades en propiedades de Microsoft ampliamente utilizadas, incluidas Excel, OneNote, Outlook, PowerPoint, Teams y Word.
Si se explotan, las fallas permitirían a un actor de amenazas aprovechar la configuración de permisos de Apple para inyectar bibliotecas maliciosas en las aplicaciones vulnerables y obtener control de sus derechos y permisos de usuario.
“Los permisos regulan si una aplicación puede acceder a recursos como el micrófono, la cámara, las carpetas, la grabación de pantalla, la entrada del usuario y más. Por lo tanto, si un adversario obtuviera acceso a estos, podría potencialmente filtrar información confidencial o, en el peor de los casos, aumentar los privilegios”, escribió Benvenuto.
como funciona
El alcance del problema depende de cómo macOS maneja los permisos de aplicaciones de terceros. Por lo general, los sistemas operativos basan estas políticas en los principios de control de acceso discrecional (DAC), pero esto proporciona una protección muy limitada contra software vulnerable o malware que se ejecuta con privilegios de usuario o root.
Por lo tanto, Apple va más allá y asegura el acceso a algunos recursos mediante un mecanismo llamado Transparencia, Consentimiento y Control (TCC), que requiere que las aplicaciones obtengan el consentimiento humano explícito antes de acceder a elementos protegidos como el micrófono, la cámara, etc.
Este mecanismo de consentimiento se manifiesta al usuario como una ventana emergente, que resultará familiar para la mayoría de los propietarios de Mac. Luego, esa decisión se registra para referencia futura y se puede cambiar a través de la configuración de Privacidad y seguridad del dispositivo en el futuro si así lo desea.
Ahora, macOS también incluye disposiciones para detener la inyección de código al exigir que las aplicaciones distribuidas a través de la App Store se sometan a un entorno de pruebas, que restringe el acceso a los recursos que la aplicación solicita explícitamente a través de derechos, algunos de los cuales se rigen además por la ventana emergente de consentimiento del usuario.
A modo de ejemplo, explicó Benvenuto, una aplicación correctamente aislada solicitará acceso a la cámara sólo si tiene el derecho de cámara establecido en “verdadero”. Si ese derecho no está presente, no se permitirá y el usuario nunca verá una ventana emergente.
Las aplicaciones notariadas (aquellas que han sido comprobadas por los escáneres de Apple en busca de componentes dudosos) también deben habilitar un tiempo de ejecución reforzado para hacerlas más resistentes a la inyección de código.
Estas aplicaciones, que incluyen todas las de Microsoft incluidas en el alcance de la investigación, que pueden necesitar realizar acciones de mayor riesgo, como cargar una biblioteca que no es de confianza, deben declarar esa intención a través de sus derechos. En este caso, sus desarrolladores deben establecer el derecho de desactivar la validación de la biblioteca en “verdadero”.
En conjunto, se supone que estas características funcionan juntas para proporcionar una protección mejorada para los usuarios de Mac. Sin embargo, si un atacante puede inyectar una biblioteca de códigos maliciosos en el espacio de proceso de una aplicación en ejecución, dicha biblioteca puede usar todos los permisos que tiene. le ha sido concedida.
Entonces, como lo demuestra la investigación, las aplicaciones de Microsoft en el alcance se vuelven vulnerables si cargan una biblioteca que un actor de amenazas comprometió.
Manejo responsable
Benvenuto dijo que para ser verdaderamente efectivo (y seguro) el modelo de Apple depende de que las aplicaciones manejen responsablemente sus permisos.
“MacOS confía en que las aplicaciones autocontrolen sus permisos. Una falla en esta responsabilidad conduce a una violación de todo el modelo de permisos, con aplicaciones que actúan inadvertidamente como representantes de acciones no autorizadas, eludiendo TCC y comprometiendo el modelo de seguridad del sistema. Esto resalta la importancia de que las aplicaciones implementen medidas de seguridad sólidas para evitar convertirse en vectores de explotación”.
Benvenuto continuó afirmando que las aplicaciones de Microsoft parecen estar usando el derecho de validación de biblioteca para admitir complementos, lo que debería significar complementos firmados por desarrolladores externos, pero en este caso, en realidad parece referirse solo al complemento de Office de Microsoft. -ins. Dijo que esto generó más preguntas sobre por qué Microsoft necesitaba deshabilitar la validación de la biblioteca si no se espera que aparezcan bibliotecas externas.
“Al utilizar este derecho, Microsoft está eludiendo las salvaguardas ofrecidas por el tiempo de ejecución reforzado, exponiendo potencialmente a sus usuarios a riesgos innecesarios”, escribió.
Ocho vulnerabilidades
A los problemas descritos por el equipo de Cisco Talos se les han asignado las siguientes designaciones:
- CVE-2024-39804 en Microsoft PowerPoint;
- CVE-2024-41138 en Microsoft Teams (trabajo o escuela) com.microsoft.teams2.modulehost.app;
- CVE-2024-41145 en la aplicación auxiliar WebView.app de Microsoft Teams (trabajo o escuela);
- CVE-2024-41159 en Microsoft OneNote;
- CVE-2024-41165 en Microsoft Word;
- CVE-2024-42004 en Microsoft Teams (trabajo o escuela);
- CVE-2024-42220 en Microsoft Outlook;
- Y CVE-2024-43106 en Microsoft Excel.
Según Benvenuto, Microsoft ha dicho que considera que estos problemas son de bajo riesgo y supuestamente se ha negado a solucionar algunos de ellos porque las aplicaciones deben permitir la carga de bibliotecas no firmadas para admitir los complementos de Office.
Al momento de escribir este artículo, tanto a Teams como a OneNote se les ha eliminado el derecho problemático y ya no son vulnerables a la explotación. Los demás siguen en riesgo.