Nieuwe fouten in Microsoft macOS-apps kunnen hackers onbeperkte toegang geven

Er zijn acht kwetsbaarheden ontdekt in Microsoft-applicaties voor macOS die een kwaadwillende zou kunnen misbruiken om verhoogde rechten te verkrijgen of toegang te krijgen tot gevoelige gegevens door het op machtigingen gebaseerde model van het besturingssysteem te omzeilen, dat draait om het Transparency, Consent, and Control (TCC)-framework.

“Als het lukt, kan de aanvaller alle privileges verkrijgen die al zijn toegekend aan de getroffen Microsoft-applicaties,” aldus Cisco Talos. “De aanvaller kan bijvoorbeeld e-mails versturen vanaf het gebruikersaccount zonder dat de gebruiker het merkt, audioclips opnemen, foto’s maken of video’s opnemen zonder enige interactie van de gebruiker.”

De tekortkomingen hebben betrekking op verschillende applicaties, zoals Outlook, Teams, Word, Excel, PowerPoint en OneNote.

Volgens het cybersecuritybedrijf kunnen er schadelijke bibliotheken in deze applicaties worden geplaatst en kunnen deze de rechten en door de gebruiker verleende toestemmingen verkrijgen. Deze toestemmingen kunnen vervolgens worden gebruikt als wapen om gevoelige informatie te extraheren, afhankelijk van de toegang die aan elk van die apps is verleend.

TCC is een door Apple ontwikkeld raamwerk voor het beheren van de toegang tot gevoelige gebruikersgegevens op macOS. Hiermee krijgen gebruikers meer inzicht in de manier waarop hun gegevens worden benaderd en gebruikt door verschillende apps die op het apparaat zijn geïnstalleerd.

Dit wordt bijgehouden in de vorm van een gecodeerde database waarin de machtigingen worden vastgelegd die de gebruiker aan elke toepassing heeft verleend. Zo wordt gewaarborgd dat de voorkeuren consistent worden gehandhaafd in het hele systeem.

“TCC werkt samen met de applicatie-sandboxfunctie in macOS en iOS”, merkt Huntress op in zijn uitleg voor TCC. “Sandboxing beperkt de toegang van een app tot het systeem en andere applicaties, wat een extra beveiligingslaag toevoegt. TCC zorgt ervoor dat apps alleen toegang hebben tot gegevens waarvoor ze expliciete toestemming van de gebruiker hebben gekregen.”

Sandboxing is ook een tegenmaatregel die bescherming biedt tegen code-injectie. Hiermee kunnen aanvallers met toegang tot een machine schadelijke code in legitieme processen invoegen en toegang krijgen tot beveiligde gegevens.

“Library injection, ook wel bekend als Dylib Hijacking in de context van macOS, is een techniek waarbij code wordt ingevoegd in het actieve proces van een applicatie”, aldus Talos-onderzoeker Francesco Benvenuto. “macOS bestrijdt deze dreiging met functies zoals een geharde runtime, die de kans verkleinen dat een aanvaller willekeurige code uitvoert via het proces van een andere app.”

“Als een aanvaller er echter in slaagt een bibliotheek in de procesruimte van een actieve applicatie te injecteren, kan die bibliotheek alle rechten gebruiken die al aan het proces zijn verleend en in feite namens de applicatie zelf werken.”

Hierbij moet echter worden opgemerkt dat dit soort aanvallen vereisen dat de aanvaller al een bepaald niveau van toegang tot de gecompromitteerde host heeft. Dit betekent dat de aanvaller misbruik kan maken van de toegang om een ​​app met meer privileges te openen en een schadelijke bibliotheek te injecteren, waarmee hij in feite de rechten krijgt die horen bij de geëxploiteerde app.

Met andere woorden, als een vertrouwde applicatie door een aanvaller wordt geïnfiltreerd, kan deze worden misbruikt om de rechten te misbruiken en onterecht toegang te krijgen tot gevoelige informatie, zonder toestemming of medeweten van de gebruikers.

Dit soort inbreuk kan optreden wanneer een applicatie bibliotheken laadt vanaf locaties die de aanvaller mogelijk kan manipuleren en de applicatie de bibliotheekvalidatie heeft uitgeschakeld via een riskante machtiging (d.w.z. ingesteld op true), waardoor het laden van bibliotheken anders wordt beperkt tot bibliotheken die zijn ondertekend door de ontwikkelaar van de applicatie of door Apple.

“macOS vertrouwt erop dat applicaties hun permissies zelf controleren,” merkte Benvenuto op. “Een fout in deze verantwoordelijkheid leidt tot een inbreuk op het gehele permissiemodel, waarbij applicaties onbedoeld fungeren als proxy’s voor ongeautoriseerde acties, TCC omzeilen en het beveiligingsmodel van het systeem in gevaar brengen.”

Microsoft beschouwt de geïdentificeerde problemen als “laag risico” en dat de apps niet-ondertekende bibliotheken moeten laden om plug-ins te ondersteunen. Het bedrijf is echter tussenbeide gekomen om het probleem in zijn OneNote- en Teams-apps te verhelpen.

“De kwetsbare apps bieden kwaadwillenden de mogelijkheid om misbruik te maken van alle rechten van de apps en om, zonder dat de gebruiker daarom vraagt, alle rechten die al aan de app zijn verleend, opnieuw te gebruiken. Zo fungeren ze in feite als een soort toestemmingsmakelaar voor de aanvaller”, aldus Benvenuto.

“Het is ook belangrijk om te vermelden dat het onduidelijk is hoe je dergelijke plug-ins veilig kunt verwerken binnen het huidige raamwerk van macOS. Notarisering van plug-ins van derden is een optie, hoewel een complexe, en het zou vereisen dat Microsoft of Apple modules van derden ondertekent na verificatie van hun beveiliging.”

Thijs Van der Does