현재 수정된 익스플로잇에 대한 세부 정보에 따르면 macOS 사용자는 매크로가 포함된 Microsoft Office 파일을 사용하는 악의적인 공격의 대상이 될 수 있습니다. 오늘 공유 보안 연구원 Patrick Wardle은 마더보드 .
해커는 Windows 컴퓨터에 액세스하는 방법으로 매크로가 포함된 Office 파일을 오랫동안 사용해왔지만, macOS에서도 악용이 가능합니다. Wardle에 따르면 Mac 사용자는 잘못된 매크로가 포함된 Microsoft Office 파일을 여는 것만으로도 잠재적으로 감염될 수 있습니다.
워들 블로그 게시물을 공유했습니다 그는 오늘 온라인 Black Hat 보안 컨퍼런스에서 강조하고 있는 Mac에 영향을 미치기 위해 Office 파일을 조작하기 위해 발견한 익스플로잇에 대해 설명합니다.
Apple은 Wardle이 macOS 10.15.3에서 사용하는 익스플로잇을 수정하여 해커가 더 이상 특정 취약점을 사용할 수 없도록 했지만 앞으로 더 많이 볼 수 있는 새로운 공격 방법에 대한 흥미로운 시각을 제공합니다.
Wardle의 해킹은 복잡하고 여러 단계를 거쳐야 하므로 자세한 내용에 관심이 있는 사람들은 그의 블로그를 읽어야 한다 , 그러나 기본적으로 그는 사용자에게 알리지 않고 macOS에서 매크로를 실행하기 위해 이전 .slk 형식의 Office 파일을 사용했습니다.
Wardle은 '보안 연구원들은 아무도 보안에 대해 생각하지 않는 시기에 만들어졌기 때문에 이러한 고대 파일 형식을 좋아합니다.'라고 Wardle이 말했습니다. 마더보드 .
구식 파일 형식을 사용하여 macOS가 사용자에게 알리지 않고 Microsoft Office에서 매크로를 실행하도록 한 후, 그는 해커가 $ 기호를 사용하는 파일로 Microsoft Office Sandbox를 탈출할 수 있는 또 다른 결함을 사용했습니다. 파일은 .zip 파일로, macOS는 사용자가 알려진 개발자가 아닌 파일을 열지 못하도록 하는 공증 보호에 대해 확인하지 않았습니다.
계산기를 여는 데 사용되는 매크로와 함께 다운로드한 Microsoft Office 파일의 데모.
이 익스플로잇은 로그인이 익스플로잇 체인의 다른 단계를 트리거하기 때문에 표적이 된 사람이 두 번의 별도의 경우에 Mac에 로그인해야 했기 때문에 발생할 가능성이 적었지만 Wardle이 말했듯이 한 사람만 걸리면 됩니다.
Microsoft는 Wardle에 '샌드박싱된 경우에도 모든 응용 프로그램은 이러한 API의 오용에 취약하다'는 사실을 발견했으며 문제가 발생하면 이를 식별하고 수정하기 위해 Apple과 접촉하고 있다고 말했습니다. Wardle이 매크로가 남용될 수 있는 방법을 보여주기 위해 사용한 취약점은 Apple에 의해 패치된 지 오래되었지만 나중에 유사한 익스플로잇이 나타날 가능성이 항상 있습니다.
Mac 사용자는 바이러스에 취약하지 않으며 알려지지 않은 출처, 때로는 알려진 출처에서 파일을 다운로드하고 열 때 주의를 기울여야 합니다. Apple이 macOS에 내장한 보호 기능이 있더라도 의심스러운 Office 파일 및 출처가 모호한 기타 파일은 멀리하는 것이 가장 좋습니다.
인기 게시물