In Microsoft-Anwendungen für macOS wurden acht Schwachstellen entdeckt, die ein Angreifer ausnutzen könnte, um erhöhte Rechte zu erhalten oder auf sensible Daten zuzugreifen, indem er das permissionsbasierte Modell des Betriebssystems umgeht, das sich um das Transparency, Consent, and Control (TCC)-Framework dreht.
„Bei Erfolg könnte der Angreifer alle Rechte erlangen, die den betroffenen Microsoft-Anwendungen bereits erteilt wurden“, sagte Cisco Talos. „So könnte der Angreifer beispielsweise E-Mails vom Benutzerkonto senden, ohne dass der Benutzer dies bemerkt, Audioclips aufnehmen, Bilder aufnehmen oder Videos aufnehmen, ohne dass der Benutzer eingreift.“
Die Mängel betreffen verschiedene Anwendungen wie Outlook, Teams, Word, Excel PowerPoint und OneNote.
Das Cybersicherheitsunternehmen sagte, dass schädliche Bibliotheken in diese Anwendungen injiziert werden könnten und deren Berechtigungen und vom Benutzer gewährten Berechtigungen erhalten könnten, die dann zur Extraktion sensibler Informationen verwendet werden könnten, abhängig von dem Zugriff, der jeder dieser Anwendungen gewährt wird.
TCC ist ein von Apple entwickeltes Framework zur Verwaltung des Zugriffs auf sensible Benutzerdaten auf macOS, das Benutzern zusätzliche Transparenz darüber gibt, wie ihre Daten von verschiedenen auf dem Gerät installierten Anwendungen abgerufen und verwendet werden.
Dies wird in Form einer verschlüsselten Datenbank verwaltet, die die vom Benutzer für jede Anwendung gewährten Berechtigungen aufzeichnet, um sicherzustellen, dass die Einstellungen systemweit durchgesetzt werden.
„TCC arbeitet in Verbindung mit der Sandbox-Funktion für Anwendungen in macOS und iOS“, merkt Huntress in seiner Erklärung für TCC an. „Sandboxing beschränkt den Zugriff einer App auf das System und andere Anwendungen und bietet eine zusätzliche Sicherheitsebene. TCC stellt sicher, dass Apps nur auf Daten zugreifen können, für die sie die ausdrückliche Zustimmung des Benutzers erhalten haben.“ Sandboxing ist auch eine Gegenmaßnahme, die vor Code-Injection schützt, die es Angreifern mit Zugriff auf eine Maschine ermöglicht, bösartigen Code in legitime Prozesse einzufügen und auf geschützte Daten zuzugreifen. „Bibliotheks-Injection, auch bekannt als Dylib Hijacking im Kontext von macOS, ist eine Technik, bei der Code in den laufenden Prozess einer Anwendung eingefügt wird“, sagte Francesco Benvenuto, Forscher bei Talos. „macOS begegnet dieser Bedrohung mit Funktionen wie dem gehärteten Laufzeitverhalten, das die Wahrscheinlichkeit reduziert, dass ein Angreifer beliebigen Code über den Prozess einer anderen App ausführt.“ „Wenn ein Angreifer jedoch eine Bibliothek in den Prozessraum einer laufenden Anwendung injizieren kann, könnte diese Bibliothek alle Berechtigungen verwenden, die dem Prozess bereits erteilt wurden, und effektiv im Namen der Anwendung selbst arbeiten.“
Es ist jedoch anzumerken, dass Angriffe dieser Art erfordern, dass der Angreifer bereits einen gewissen Zugriff auf den kompromittierten Host hat, so dass er missbraucht werden könnte, um eine privilegiertere App zu öffnen und eine schädliche Bibliothek zu injizieren, wodurch ihm im Wesentlichen die Berechtigungen der ausgebeuteten App gewährt werden. Mit anderen Worten, wenn eine vertrauenswürdige Anwendung von einem Angreifer infiltriert wird, könnte sie verwendet werden, um ihre Berechtigungen zu missbrauchen und unbefugten Zugriff auf sensible Informationen zu erhalten, ohne dass der Benutzer dies bemerkt oder weiß. Diese Art von Verstoß könnte auftreten, wenn eine Anwendung Bibliotheken von Orten lädt, die der Angreifer möglicherweise manipulieren kann, und sie die Bibliotheksvalidierung über eine riskante Berechtigung (d. h. auf true gesetzt) deaktiviert hat, die ansonsten das Laden von Bibliotheken auf solche beschränkt, die vom Entwickler der Anwendung oder Apple signiert sind.
„macOS vertraut darauf, dass Anwendungen ihre Berechtigungen selbst überwachen“, bemerkte Benvenuto. „Ein Fehler in dieser Verantwortung führt zu einem Verstoß gegen das gesamte Berechtigungsmodell, wobei Anwendungen unbeabsichtigt als Proxys für nicht autorisierte Aktionen fungieren, TCC umgehen und das Sicherheitsmodell des Systems gefährden.“
Microsoft betrachtet die festgestellten Probleme seinerseits als „geringes Risiko“ und dass die Apps zum Laden nicht signierter Bibliotheken verpflichtet sind, um Plugins zu unterstützen. Das Unternehmen hat jedoch Schritte unternommen, um das Problem in seinen OneNote- und Teams-Apps zu beheben. „Die verwundbaren Apps lassen Angreifern die Tür offen, um alle Berechtigungen der Apps auszunutzen und ohne Eingaben des Benutzers alle Berechtigungen wiederzuverwenden, die der App bereits erteilt wurden, und dienen effektiv als Berechtigungsproxy für den Angreifer“, sagte Benvenuto. „Es ist auch wichtig zu erwähnen, dass es unklar ist, wie solche Plugins im aktuellen Framework von macOS sicher behandelt werden können. Die Beglaubigung von Plugins von Drittanbietern ist eine Option, wenn auch eine komplexe, und würde erfordern, dass Microsoft oder Apple Module von Drittanbietern signiert, nachdem ihre Sicherheit überprüft wurde.“
