信息來(lái)源:安全牛
位于卡內(nèi)基梅隆大學(xué)的計(jì)算機(jī)緊急事件響應(yīng)小組/協(xié)調(diào)中心 (Computer Emergency Response Team/Coordination Center, CERT/CC) 表示�����,Excel 對(duì)舊宏格式的處理為未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者提供了一種控制易受攻擊系統(tǒng)的方法����。
微軟為保護(hù)用戶免受網(wǎng)絡(luò)威脅而設(shè)計(jì)的安全設(shè)置,實(shí)際上會(huì)讓運(yùn)行最新版 Mac Office 的用戶更容易受到遠(yuǎn)程攻擊�。
位于卡耐基梅隆大學(xué)的計(jì)算機(jī)緊急事件響應(yīng)小組/協(xié)調(diào)中心 (CERT/CC) 周五警告道��,運(yùn)行在 Mac 上的 Microsoft Office ——包括打了補(bǔ)丁的 Office 2016 和 Office 2019 版本——可能會(huì)受到遠(yuǎn)程攻擊�,因?yàn)镋xcel中有一個(gè)涉及 XLM(一種舊的宏格式)的小漏洞。
當(dāng)用戶將 Excel 配置為禁用所有宏而不進(jìn)行通知時(shí)��,這個(gè)漏洞反而導(dǎo)致 XLM 宏可以在無(wú)任何提示的情況下在易受攻擊的系統(tǒng)上運(yùn)行�。
在上周五的一份報(bào)告中,位于卡內(nèi)基梅隆大學(xué)的 CERT/CC 稱����,這個(gè)問(wèn)題能夠讓未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者在 Mac 上運(yùn)行的 Office 上執(zhí)行任意代碼。
CERT/CC 在其漏洞說(shuō)明中表示�,通過(guò)說(shuō)服用戶在 Mac 電腦上打開(kāi)專門制作的 Microsoft Excel 內(nèi)容,并啟用 “禁用所有宏而無(wú)需通知” 的功能��,遠(yuǎn)程攻擊者可以獲得與合法用戶相同的系統(tǒng)訪問(wèn)權(quán)限����。
攻擊者可以利用這個(gè)漏洞為所欲為。他們可以安裝病毒����,竊取私人文件�,或者安裝勒索軟件�。無(wú)所限制。
微軟發(fā)言人在一份聲明中表示�����,微軟會(huì)全面調(diào)查報(bào)告的安全事件�。
Dormann 表示,問(wèn)題在于 Microsoft Excel 處理 SYLK(符號(hào)鏈接)文件中的 XLM 內(nèi)容的方式�����。
XLM 是一種宏格式�����,在以前的 Excel 版本(包括 Excel 4.0)中可用�。盡管此后的 Excel 版本都使用 VBA 宏,但微軟在后來(lái)的 Excel 版本中繼續(xù)支持 XLM 宏�,包括最新的 Mac Office 版本。
SYLK 本身是一種文件格式�����,在 20 世紀(jì) 80 年代就出現(xiàn)了,SYLK 文件被用于在電子表格�����、數(shù)據(jù)庫(kù)和其他應(yīng)用程序之間傳輸數(shù)據(jù)���。盡管現(xiàn)在很少使用 SYLK 文件,但是最近的 Office 和 Excel 版本仍然支持 SYLK 文件���。
SYLK 文件中的宏是有問(wèn)題的��,因?yàn)?Microsoft Office 不會(huì)在受保護(hù)的視圖中打開(kāi)它們——這是一種防止 Office 從不安全的地方下載文件的機(jī)制�,CERT/CC 說(shuō)道��。因此��,SYLK 文件為攻擊者制造了一個(gè)機(jī)會(huì)�����,可以在設(shè)備上偷偷運(yùn)行惡意代碼�,而不會(huì)觸發(fā)任何常規(guī)的微軟安全警報(bào)。
Dormann 表示��,去年 IT 安全公司 Outflank 的研究人員展示了攻擊者如何將惡意的 XLM 內(nèi)容嵌入到一個(gè) SYLK 文件中��,并讓它在 Mac 的 Office 2011 中自動(dòng)執(zhí)行,而不會(huì)觸發(fā)任何用戶警告或宏提示�����。
當(dāng)時(shí)���,微軟指出不再支持 Mac Excel 2011��,因此不符合安全更新的條件�,Dormann 說(shuō)道��。微軟指出 Mac Excel 2016 和 Mac Excel 2019 在相同情況下能做出正確的響應(yīng)����,Dormann 表示。
但現(xiàn)實(shí)是盡管 Excel 2016 和 2019 確實(shí)會(huì)在 SYLK 文件中的 XLM 宏運(yùn)行之前進(jìn)行提示�,但這些提示只有在默認(rèn)安全設(shè)置為 “禁用所有宏并進(jìn)行通知” 的情況下才會(huì)出現(xiàn),他說(shuō)道�����。
如果用戶進(jìn)一步選擇 “禁用所有宏而無(wú)需通知選項(xiàng)”����,則 XLM 宏將執(zhí)行相反的操作��。Dormann 指出��,這時(shí)候 XLM 宏運(yùn)行時(shí)不會(huì)產(chǎn)生任何宏提示�����,而且不僅是在 Mac Office 2011 中是如此����,Mac Office 2016 和 Office 2019 也會(huì)出現(xiàn)同樣的情況����。
這顯然是一個(gè)錯(cuò)誤�。微軟可以修復(fù) Mac 版 Excel 在處理宏設(shè)置時(shí)的邏輯錯(cuò)誤,但這需要他們同時(shí)修復(fù)軟件并部署修復(fù)后的版本�。
在此之前,Mac 用戶的最佳選擇是使用 “禁用所有宏并進(jìn)行通知” 設(shè)置��。這種設(shè)置的代價(jià)是增加了現(xiàn)代 (VBA) 宏帶來(lái)的風(fēng)險(xiǎn)���,但是會(huì)防止 SYLK 中 XLM 宏自動(dòng)執(zhí)行��。
自從 Outflank 發(fā)布在 SYLK 文件中使用 XLM 宏的技術(shù)以來(lái)����,攻擊者就一直在利用這一點(diǎn),Dormann 說(shuō)道���。CERT/CC 發(fā)布了一個(gè)有關(guān)安全設(shè)置的新建議 “具有諷刺意味的是����,這個(gè)本應(yīng)該保護(hù)Mac系統(tǒng)不受該技術(shù)利用的安全設(shè)置反而讓Mac更容易受到攻擊”���,他補(bǔ)充道�����。
