位于卡内基梅隆大学的计算机紧急事件响应小组 / 协调中心 (Computer Emergency Response Team/Coordination Center, CERT/CC) 表示,Excel 对旧宏格式的处理为未经身份验证的远程攻击者提供了一种控制易受攻击系统的方法。

微软的安全设置反而导致 Mac 用户不安全

微软为保护用户免受网络威胁而设计的安全设置,实际上会让运行最新版 Mac Office 的用户更容易受到远程攻击。

位于卡耐基梅隆大学的计算机紧急事件响应小组 / 协调中心 (CERT/CC) 周五警告道,运行在 Mac 上的 Microsoft Office ——包括打了补丁的 Office 2016 和 Office 2019 版本——可能会受到远程攻击,因为 Excel 中有一个涉及 XLM (一种旧的宏格式)的小漏洞。

当用户将 Excel 配置为禁用所有宏而不进行通知时,这个漏洞反而导致 XLM 宏可以在无任何提示的情况下在易受攻击的系统上运行。

在上周五的一份报告中,位于卡内基梅隆大学的 CERT/CC 称,这个问题能够让未经身份验证的远程攻击者在 Mac 上运行的 Office 上执行任意代码。

CERT/CC 在其漏洞说明中表示,通过说服用户在 Mac 电脑上打开专门制作的 Microsoft Excel 内容,并启用 “禁用所有宏而无需通知” 的功能,远程攻击者可以获得与合法用户相同的系统访问权限。

攻击者可以利用这个漏洞为所欲为。他们可以安装病毒,窃取私人文件,或者安装勒索软件。无所限制。

微软发言人在一份声明中表示,微软会全面调查报告的安全事件。

Dormann 表示,问题在于 Microsoft Excel 处理 SYLK (符号链接)文件中的 XLM 内容的方式。

XLM 是一种宏格式,在以前的 Excel 版本(包括 Excel 4.0)中可用。尽管此后的 Excel 版本都使用 VBA 宏,但微软在后来的 Excel 版本中继续支持 XLM 宏,包括最新的 Mac Office 版本。

SYLK 本身是一种文件格式,在 20 世纪 80 年代就出现了,SYLK 文件被用于在电子表格、数据库和其他应用程序之间传输数据。尽管现在很少使用 SYLK 文件,但是最近的 Office 和 Excel 版本仍然支持 SYLK 文件。

SYLK 文件中的宏是有问题的,因为 Microsoft Office 不会在受保护的视图中打开它们——这是一种防止 Office 从不安全的地方下载文件的机制,CERT/CC 说道。因此,SYLK 文件为攻击者制造了一个机会,可以在设备上偷偷运行恶意代码,而不会触发任何常规的微软安全警报。

Dormann 表示,去年 IT 安全公司 Outflank 的研究人员展示了攻击者如何将恶意的 XLM 内容嵌入到一个 SYLK 文件中,并让它在 Mac 的 Office 2011 中自动执行,而不会触发任何用户警告或宏提示。

当时,微软指出不再支持 Mac Excel 2011,因此不符合安全更新的条件,Dormann 说道。微软指出 Mac Excel 2016 和 Mac Excel 2019 在相同情况下能做出正确的响应,Dormann 表示。

但现实是尽管 Excel 2016 和 2019 确实会在 SYLK 文件中的 XLM 宏运行之前进行提示,但这些提示只有在默认安全设置为 “禁用所有宏并进行通知” 的情况下才会出现,他说道。

如果用户进一步选择 “禁用所有宏而无需通知选项”,则 XLM 宏将执行相反的操作。Dormann 指出,这时候 XLM 宏运行时不会产生任何宏提示,而且不仅是在 Mac Office 2011 中是如此,Mac Office 2016 和 Office 2019 也会出现同样的情况。

这显然是一个错误。微软可以修复 Mac 版 Excel 在处理宏设置时的逻辑错误,但这需要他们同时修复软件并部署修复后的版本。

在此之前,Mac 用户的最佳选择是使用 “禁用所有宏并进行通知” 设置。这种设置的代价是增加了现代 (VBA) 宏带来的风险,但是会防止 SYLK 中 XLM 宏自动执行。

自从 Outflank 发布在 SYLK 文件中使用 XLM 宏的技术以来,攻击者就一直在利用这一点,Dormann 说道。CERT/CC 发布了一个有关安全设置的新建议 “具有讽刺意味的是,这个本应该保护 Mac 系统不受该技术利用的安全设置反而让 Mac 更容易受到攻击”,他补充道。

相关阅读

前 NSA 研究员发现 Mac 漏洞 安全提示可被“合成点击”绕过

微软的安全设置反而导致 Mac 用户不安全

来源链接:mp.weixin.qq.com