Grupa Cisco Talos odkryła osiem luk w zabezpieczeniach aplikacji Microsoft dla systemu macOS, które potencjalnie mogłyby być wykorzystane przez złośliwe oprogramowanie do nieautoryzowanego dostępu do urządzeń. Wykryte podatności mogły umożliwić omijanie systemów zabezpieczeń poprzez istniejące uprawnienia aplikacji. To potencjalnie mogło prowadzić do działań takich jak wysyłanie wiadomości e-mail z kont użytkowników, czy nagrywanie dźwięku lub obrazu.
Cisco Talos zwróciło również uwagę na prawdopodobieństwo wykorzystania tych luk do eskalacji uprawnień, co mogłoby prowadzić do dostępu do bardziej wrażliwych zasobów systemowych. Poniższa analiza ma na celu zwrócenie uwagi na potencjalne zagrożenia, ale także sugeruje jakie działania powinni podejmować twórcy oprogramowania, aby minimalizować ryzyko naruszeń prywatności.
Polityka bezpieczeństwa systemu macOS
Polityka bezpieczeństwa większości systemów operacyjnych jest domyślnie oparta na Discretionary Access Control (DAC). Zapewnia ona jedynie minimalną ochronę przed złośliwym oprogramowaniem, które działa z uprawnieniami użytkownika lub roota.
MacOS został zaprojektowany tak, aby wzmocnić ochronę przed naruszeniem prywatności. W tym celu, oprócz standardowej polityki DAC dostęp do niektórych zasobów jest dodatkowo zabezpieczony przez protokół TCC (Transparency, Consent, Control), który reguluje sposób, w jaki aplikację mogą uzyskiwać dostęp do poufnych danych użytkownika i zasobów systemowych. TCC wymaga, aby aplikacje uzyskiwały wyraźną zgodę użytkownika przed uzyskaniem dostępu do chronionych zasobów, takich jak kontakty, kalendarze, zdjęcia i lokalizacja. Dzięki temu użytkownicy zachowują bezpośrednią kontrolę nad dostępem aplikacji do swoich danych. Użytkownik może później zweryfikować to uprawnienie w sekcji „Prywatność i bezpieczeństwo”.
System macOS stosuje również dodatkowe środki bezpieczeństwa, aby ustrzec użytkowników przed wprowadzeniem kodu przez złośliwe oprogramowanie. Sandboxing jest tutaj kluczowym mechanizmem zabezpieczeń, który izoluje aplikacje od reszty systemu, ograniczając ich dostęp do zasobów i danych systemowych.
Uważaj kto ma dostęp do Twojej kamery
Jednym z głównych problemów, na jakie natrafili eksperci Cisco Talos, było niewłaściwe zarządzanie uprawnieniami przez aplikacje Microsoftu. Uprawnienia są kluczowe dla zabezpieczenia danych użytkownika i ochrony systemu przed nieautoryzowanym dostępem. Jednym z przykładów aplikacji, które zawierały te luki, był Microsoft Word. Podatność polegała na błędach w implementacji mechanizmów sandboxingu, które powinny izolować aplikację od reszty systemu, zapobiegając tym samym jej dostępowi do wrażliwych danych.
Niestety, w praktyce okazało się, że sandboxing był możliwy do obejścia, co umożliwiało aplikacji uzyskanie dostępu do zasobów systemowych poza jej izolowanym środowiskiem. Mimo, że wzmocniona biblioteka uruchomieniowa chroni przed atakami polegającymi na wykonywaniu kodu, a sandbox zabezpiecza dane użytkownika i zasoby systemowe, złośliwe oprogramowanie nadal mogło znaleźć sposoby na dostęp do danych. Warto zauważyć, że nie wszystkie aplikacje działające w sandboxie są jednakowo podatne na ataki. Zazwyczaj konieczne jest połączenie konkretnych uprawnień lub luk, aby aplikacja stała się odpowiednim wektorem ataku.
Innym przykładem była luka w aplikacji Teams – powszechnie używana do komunikowania się w pracy lub szkole. Microsoft Teams wymaga zgody na dostęp do kamery lub mikrofonu. Jeśli więc haker zdołał wstrzyknąć złośliwy kod, mógł wykorzystać już nadane wcześniej uprawnienia. Wtedy aplikacja staje się swego rodzaju serwerem pośredniczącym, za pomocą którego osoby nieupoważnione mogą np. podsłuchiwać rozmowy lub nagrywać wideo bez wiedzy użytkownika.
Regularne aktualizacje podstawą bezpieczeństwa
Po zidentyfikowaniu luk, Cisco Talos natychmiast poinformował Microsoft o odkryciu, stosując standardowy proces zgłaszania naruszeń bezpieczeństwa. Ten proces jest szczególnie ważny, ponieważ pozwala producentowi oprogramowania na zaplanowanie i wdrożenie działań naprawczych, zanim informacja zostanie podana szerzej, dając cyberprzestępcom możliwość wykorzystania jej. Microsoft w odpowiedzi przygotował i wydał aktualizację oraz przeprowadził dodatkowy audyt bezpieczeństwa swoich aplikacji dla macOS. Chociaż żaden system nie jest pozbawiony wad i mogą pojawić się luki w zabezpieczeniach, to jednak szybka reakcja i zwiększanie świadomości użytkowników na temat zachowań aplikacji jest kluczowe w reagowaniu na incydenty.
Proces odkrycia i odpowiedź Microsoftu na zgłoszenie Cisco Talos pokazuje, jak ważna jest współpraca pomiędzy ekspertami do spraw cyberbezpieczeństwa a producentami oprogramowania. Tylko dzięki szybkiej reakcji i proaktywnym działaniom możliwe jest zminimalizowanie ryzyka związanego z lukami w zabezpieczeniach i zapewnienie bezpieczeństwa użytkownikom na całym świecie. Cisco Talos zaleca również, aby organizacje i indywidualni użytkownicy stosowali regularne aktualizacje i dodatkowe środki ochrony, takie jak monitorowanie i segmentacja sieci oraz użycie oprogramowania antywirusowego.