信息來源:安全牛
位于卡內(nèi)基梅隆大學(xué)的計算機(jī)緊急事件響應(yīng)小組/協(xié)調(diào)中心 (Computer Emergency Response Team/Coordination Center, CERT/CC) 表示,Excel 對舊宏格式的處理為未經(jīng)身份驗證的遠(yuǎn)程攻擊者提供了一種控制易受攻擊系統(tǒng)的方法。
微軟為保護(hù)用戶免受網(wǎng)絡(luò)威脅而設(shè)計的安全設(shè)置,實際上會讓運行最新版 Mac Office 的用戶更容易受到遠(yuǎn)程攻擊。
位于卡耐基梅隆大學(xué)的計算機(jī)緊急事件響應(yīng)小組/協(xié)調(diào)中心 (CERT/CC) 周五警告道,運行在 Mac 上的 Microsoft Office ——包括打了補丁的 Office 2016 和 Office 2019 版本——可能會受到遠(yuǎn)程攻擊,因為Excel中有一個涉及 XLM(一種舊的宏格式)的小漏洞。
當(dāng)用戶將 Excel 配置為禁用所有宏而不進(jìn)行通知時,這個漏洞反而導(dǎo)致 XLM 宏可以在無任何提示的情況下在易受攻擊的系統(tǒng)上運行。
在上周五的一份報告中,位于卡內(nèi)基梅隆大學(xué)的 CERT/CC 稱,這個問題能夠讓未經(jīng)身份驗證的遠(yuǎn)程攻擊者在 Mac 上運行的 Office 上執(zhí)行任意代碼。
CERT/CC 在其漏洞說明中表示,通過說服用戶在 Mac 電腦上打開專門制作的 Microsoft Excel 內(nèi)容,并啟用 “禁用所有宏而無需通知” 的功能,遠(yuǎn)程攻擊者可以獲得與合法用戶相同的系統(tǒng)訪問權(quán)限。
攻擊者可以利用這個漏洞為所欲為。他們可以安裝病毒,竊取私人文件,或者安裝勒索軟件。無所限制。
微軟發(fā)言人在一份聲明中表示,微軟會全面調(diào)查報告的安全事件。
Dormann 表示,問題在于 Microsoft Excel 處理 SYLK(符號鏈接)文件中的 XLM 內(nèi)容的方式。
XLM 是一種宏格式,在以前的 Excel 版本(包括 Excel 4.0)中可用。盡管此后的 Excel 版本都使用 VBA 宏,但微軟在后來的 Excel 版本中繼續(xù)支持 XLM 宏,包括最新的 Mac Office 版本。
SYLK 本身是一種文件格式,在 20 世紀(jì) 80 年代就出現(xiàn)了,SYLK 文件被用于在電子表格、數(shù)據(jù)庫和其他應(yīng)用程序之間傳輸數(shù)據(jù)。盡管現(xiàn)在很少使用 SYLK 文件,但是最近的 Office 和 Excel 版本仍然支持 SYLK 文件。
SYLK 文件中的宏是有問題的,因為 Microsoft Office 不會在受保護(hù)的視圖中打開它們——這是一種防止 Office 從不安全的地方下載文件的機(jī)制,CERT/CC 說道。因此,SYLK 文件為攻擊者制造了一個機(jī)會,可以在設(shè)備上偷偷運行惡意代碼,而不會觸發(fā)任何常規(guī)的微軟安全警報。
Dormann 表示,去年 IT 安全公司 Outflank 的研究人員展示了攻擊者如何將惡意的 XLM 內(nèi)容嵌入到一個 SYLK 文件中,并讓它在 Mac 的 Office 2011 中自動執(zhí)行,而不會觸發(fā)任何用戶警告或宏提示。
當(dāng)時,微軟指出不再支持 Mac Excel 2011,因此不符合安全更新的條件,Dormann 說道。微軟指出 Mac Excel 2016 和 Mac Excel 2019 在相同情況下能做出正確的響應(yīng),Dormann 表示。
但現(xiàn)實是盡管 Excel 2016 和 2019 確實會在 SYLK 文件中的 XLM 宏運行之前進(jìn)行提示,但這些提示只有在默認(rèn)安全設(shè)置為 “禁用所有宏并進(jìn)行通知” 的情況下才會出現(xiàn),他說道。
如果用戶進(jìn)一步選擇 “禁用所有宏而無需通知選項”,則 XLM 宏將執(zhí)行相反的操作。Dormann 指出,這時候 XLM 宏運行時不會產(chǎn)生任何宏提示,而且不僅是在 Mac Office 2011 中是如此,Mac Office 2016 和 Office 2019 也會出現(xiàn)同樣的情況。
這顯然是一個錯誤。微軟可以修復(fù) Mac 版 Excel 在處理宏設(shè)置時的邏輯錯誤,但這需要他們同時修復(fù)軟件并部署修復(fù)后的版本。
在此之前,Mac 用戶的最佳選擇是使用 “禁用所有宏并進(jìn)行通知” 設(shè)置。這種設(shè)置的代價是增加了現(xiàn)代 (VBA) 宏帶來的風(fēng)險,但是會防止 SYLK 中 XLM 宏自動執(zhí)行。
自從 Outflank 發(fā)布在 SYLK 文件中使用 XLM 宏的技術(shù)以來,攻擊者就一直在利用這一點,Dormann 說道。CERT/CC 發(fā)布了一個有關(guān)安全設(shè)置的新建議 “具有諷刺意味的是,這個本應(yīng)該保護(hù)Mac系統(tǒng)不受該技術(shù)利用的安全設(shè)置反而讓Mac更容易受到攻擊”,他補充道。