macOS was over te nemen door beveiligingslek in Microsoft Office

Door: Wesley Akkerman - 6 reacties
Microsoft Office Dark Mode 16x9
Afbeelding: Microsoft

Voormalig NSA-werknemer Patrick Wardle heeft een lek in Microsoft Office voor macOS gevonden, die tot ernstige consequenties kan leiden. De kwaadwillende kan namelijk via het programma van Microsoft de complete Mac overnemen. Je hebt hier alleen een simpel Office-document met malafide code voor nodig.

Dat blijkt uit berichtgeving van Vice. Het lek is gebaseerd op een macrofunctie, waarmee gebruikers processen kunnen automatiseren in Microsoft Office. Dat gaat via zelfgemaakte commando’s en instructies. Dergelijke aanvallen komen vaak voor op Windows, maar Wardle laat nu zien dat dit dus ook goed mogelijk is op het computersysteem van Apple. Hoewel de hack input nodig heeft vanuit de gebruiker, bestaat toch de kans dat mensen op deze manier aangevallen kunnen worden. Dat kan gebeuren op het moment dat ze niet helemaal begrijpen wat er nou precies van hen verlangd wordt.

Mac overnemen via Microsoft Office

De hacker maakt hiervoor gebruik van verschillende bugs en breaches van Microsoft Office. Hij maakte een SLK-bestand dat het beveiligingssysteem van macOS omzeilt. Omdat dit formaat door Office gebruikt wordt, vraagt macOS niet eerst of je het bestand wil openen. Zelfs niet wanneer het bestand gedownload werd vanuit een onbekende bron. Beveiligingsonderzoekers houden van dergelijke bestanden die al heel oud zijn, omdat ze stammen uit een tijd waarin er minder serieus naar digitale veiligheid gekeken werd.

!excel from patrick wardle on Vimeo.

Door de bestandsnaam met het $-teken te laten beginnen, kan een malafide code de Microsoft Office-sandbox breken en andere delen van het besturingssysteem overnemen. In de bovenstaande video zie je hoe Wardle dit doet met bijvoorbeeld Microsoft Excel. Er zit nog wel een extra veiligheidslaag in Office gebouwd, aangezien Microsoft van tevoren vraagt of je zeker weet dat je de macrofunctie activeert. Het is dus geen onbewuste handeling.

Echter, we weten allemaal dat sommige gebruikers pop-ups of waarschuwingsvenster snel weg klikken wanneer ze ergens mee bezig zijn. Daardoor lopen ze toch gevaar wanneer dit soort lekken actief zijn. Wardle zegt hierover dat “mensen ongeduldig zijn, exploits zijn dat niet”. Zodoende schat hij in dat er toch enkele computers overgenomen zijn door dit lek.

Gelukkig is het zo dat er inmiddels een patch beschikbaar is die het probleem verhelpt. Desondanks lopen er alsnog mensen gevaar wanneer ze vaak veel te laat hun software updaten.

Vice

Reacties

6 reacties
  • Profielfoto
    Frans

    Het filmpje laat zien dat met het downloaden en openen van een bestand de Calculator app wordt geopend? Dat is toch wel iets anders dan macOS overnemen.

    Ik denk dat deze lek in de praktijk geen enkel gevaar vormt als je een aantal standaard veiligheidsmaatregelen treft, die je zullen beschermen tegen vrijwel alle malware.

    1. Maak een apart account aan zonder admin rechten en gebruik dit voor je dagelijkse werkzaamheden.

    2. Als je onverwacht de vraag krijgt je admin account + wachtwoord in te voeren annuleer je natuurlijk direct.

    3. Gebruik je Mac met verstand. Surf met gezond wantrouwen, bezoek geen duistere websites, download geen software van onbekende websites, klik niet zomaar op links in e-mails, wees voorzichtig als iets gratis is en wees wantrouwend wanneer gevraagd wordt geld over te maken, zelfs als dat verzoek ogenschijnlijk komt van iemand die je kent.

  • Profielfoto
    TheBigZ

    Frans op 6 augustus 2020 15:09
    Het filmpje laat zien dat met het downloaden en openen van een bestand de Calculator app wordt geopend? Dat is toch wel iets anders dan macOS overnemen.

     

    Je bent blijkbaar niet echt bekend met het pwn2own gebeuren. De calculator app openen is dé standaard-actie die uitgevoerd wordt bij een succesvolle hack.

  • Profielfoto
    Ruurd

    Ben ik blij dat ik die meuk laatst van mijn Mac gelazerd heb omdat ze die rommel niet meer willen ondersteunen. En nee ik ga het ook niet opnieuw kopen. De groeten.

  • Profielfoto
    Ivo-tje

    MS office op je Mac installeren… daar gaat het dus al mis ??‍♂️

  • Profielfoto
    Frans

    TheBigZ op 6 augustus 2020 15:32
     

    Je bent blijkbaar niet echt bekend met het pwn2own gebeuren. De calculator app openen is dé standaard-actie die uitgevoerd wordt bij een succesvolle hack.

    Pwn2own ken ik wel, lees ik regelmatig wat over. Dat de calculator app openen dé standaard actie is heb ik nog nooit eerder ergens gelezen (ook in het Wikipedia artikel waar jij naar verwijst staat dat niet) maar dan snap ik het filmpje, dus dank hiervoor.

    Ik vind een (standaard geïnstalleerde) app kunnen openen overigens nog steeds geen bewijs van het kunnen overnemen van een OS, dan moet je toch wat meer kunnen, zoals een nieuwe app installeren en die laten uitvoeren.

  • Profielfoto
    TheBigZ

    Frans op 7 augustus 2020 00:30
     
    Pwn2own ken ik wel, lees ik regelmatig wat over. Dat de calculator app openen dé standaard actie is heb ik nog nooit eerder ergens gelezen (ook in het Wikipedia artikel waar jij naar verwijst staat dat niet) maar dan snap ik het filmpje, dus dank hiervoor.
     
    Ik vind een (standaard geïnstalleerde) app kunnen openen overigens nog steeds geen bewijs van het kunnen overnemen van een OS, dan moet je toch wat meer kunnen, zoals een nieuwe app installeren en die laten uitvoeren.

     

    Dat is ook niet het énige wat ze doen; root rechten op het OS verkrijgen, daar gaat het om.

     

    Voorbeeld:

     

     

    https://www.zdnet.com/article/windows-ubuntu-macos-virtualbox-fall-at-pwn2own-hacking-contest/

    The exploit was successful – The Georgia Tech team used a six-bug exploit chain to pop the calculator app on macOS and escalate its access rights to root. They earn $70,000 USD and 7 Master of Pwn points.