信息來源:安全牛
位于卡內(nèi)基梅隆大學的計算機緊急事件響應小組/協(xié)調(diào)中心 (Computer Emergency Response Team/Coordination Center, CERT/CC) 表示,Excel 對舊宏格式的處理為未經(jīng)身份驗證的遠程攻擊者提供了一種控制易受攻擊系統(tǒng)的方法�����。
微軟為保護用戶免受網(wǎng)絡威脅而設計的安全設置��,實際上會讓運行最新版 Mac Office 的用戶更容易受到遠程攻擊。
位于卡耐基梅隆大學的計算機緊急事件響應小組/協(xié)調(diào)中心 (CERT/CC) 周五警告道���,運行在 Mac 上的 Microsoft Office ——包括打了補丁的 Office 2016 和 Office 2019 版本——可能會受到遠程攻擊�,因為Excel中有一個涉及 XLM(一種舊的宏格式)的小漏洞��。
當用戶將 Excel 配置為禁用所有宏而不進行通知時���,這個漏洞反而導致 XLM 宏可以在無任何提示的情況下在易受攻擊的系統(tǒng)上運行���。
在上周五的一份報告中,位于卡內(nèi)基梅隆大學的 CERT/CC 稱����,這個問題能夠讓未經(jīng)身份驗證的遠程攻擊者在 Mac 上運行的 Office 上執(zhí)行任意代碼���。
CERT/CC 在其漏洞說明中表示,通過說服用戶在 Mac 電腦上打開專門制作的 Microsoft Excel 內(nèi)容����,并啟用 “禁用所有宏而無需通知” 的功能�,遠程攻擊者可以獲得與合法用戶相同的系統(tǒng)訪問權限。
攻擊者可以利用這個漏洞為所欲為�����。他們可以安裝病毒�,竊取私人文件,或者安裝勒索軟件��。無所限制���。
微軟發(fā)言人在一份聲明中表示���,微軟會全面調(diào)查報告的安全事件。
Dormann 表示�����,問題在于 Microsoft Excel 處理 SYLK(符號鏈接)文件中的 XLM 內(nèi)容的方式。
XLM 是一種宏格式����,在以前的 Excel 版本(包括 Excel 4.0)中可用。盡管此后的 Excel 版本都使用 VBA 宏����,但微軟在后來的 Excel 版本中繼續(xù)支持 XLM 宏,包括最新的 Mac Office 版本����。
SYLK 本身是一種文件格式,在 20 世紀 80 年代就出現(xiàn)了��,SYLK 文件被用于在電子表格�����、數(shù)據(jù)庫和其他應用程序之間傳輸數(shù)據(jù)���。盡管現(xiàn)在很少使用 SYLK 文件���,但是最近的 Office 和 Excel 版本仍然支持 SYLK 文件���。
SYLK 文件中的宏是有問題的,因為 Microsoft Office 不會在受保護的視圖中打開它們——這是一種防止 Office 從不安全的地方下載文件的機制���,CERT/CC 說道�。因此����,SYLK 文件為攻擊者制造了一個機會�����,可以在設備上偷偷運行惡意代碼�,而不會觸發(fā)任何常規(guī)的微軟安全警報。
Dormann 表示�,去年 IT 安全公司 Outflank 的研究人員展示了攻擊者如何將惡意的 XLM 內(nèi)容嵌入到一個 SYLK 文件中,并讓它在 Mac 的 Office 2011 中自動執(zhí)行�����,而不會觸發(fā)任何用戶警告或宏提示��。
當時�����,微軟指出不再支持 Mac Excel 2011,因此不符合安全更新的條件�����,Dormann 說道�。微軟指出 Mac Excel 2016 和 Mac Excel 2019 在相同情況下能做出正確的響應,Dormann 表示���。
但現(xiàn)實是盡管 Excel 2016 和 2019 確實會在 SYLK 文件中的 XLM 宏運行之前進行提示�����,但這些提示只有在默認安全設置為 “禁用所有宏并進行通知” 的情況下才會出現(xiàn)����,他說道�。
如果用戶進一步選擇 “禁用所有宏而無需通知選項”,則 XLM 宏將執(zhí)行相反的操作����。Dormann 指出,這時候 XLM 宏運行時不會產(chǎn)生任何宏提示���,而且不僅是在 Mac Office 2011 中是如此���,Mac Office 2016 和 Office 2019 也會出現(xiàn)同樣的情況�����。
這顯然是一個錯誤�����。微軟可以修復 Mac 版 Excel 在處理宏設置時的邏輯錯誤����,但這需要他們同時修復軟件并部署修復后的版本����。
在此之前�,Mac 用戶的最佳選擇是使用 “禁用所有宏并進行通知” 設置。這種設置的代價是增加了現(xiàn)代 (VBA) 宏帶來的風險����,但是會防止 SYLK 中 XLM 宏自動執(zhí)行。
自從 Outflank 發(fā)布在 SYLK 文件中使用 XLM 宏的技術以來�,攻擊者就一直在利用這一點�,Dormann 說道����。CERT/CC 發(fā)布了一個有關安全設置的新建議 “具有諷刺意味的是,這個本應該保護Mac系統(tǒng)不受該技術利用的安全設置反而讓Mac更容易受到攻擊”���,他補充道�����。
