信息來(lái)源:安全牛
位于卡內(nèi)基梅隆大學(xué)的計(jì)算機(jī)緊急事件響應(yīng)小組/協(xié)調(diào)中心 (Computer Emergency Response Team/Coordination Center, CERT/CC) 表示,Excel 對(duì)舊宏格式的處理為未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者提供了一種控制易受攻擊系統(tǒng)的方法。
微軟為保護(hù)用戶免受網(wǎng)絡(luò)威脅而設(shè)計(jì)的安全設(shè)置,實(shí)際上會(huì)讓運(yùn)行最新版 Mac Office 的用戶更容易受到遠(yuǎn)程攻擊。
位于卡耐基梅隆大學(xué)的計(jì)算機(jī)緊急事件響應(yīng)小組/協(xié)調(diào)中心 (CERT/CC) 周五警告道,運(yùn)行在 Mac 上的 Microsoft Office ——包括打了補(bǔ)丁的 Office 2016 和 Office 2019 版本——可能會(huì)受到遠(yuǎn)程攻擊,因?yàn)镋xcel中有一個(gè)涉及 XLM(一種舊的宏格式)的小漏洞。
當(dāng)用戶將 Excel 配置為禁用所有宏而不進(jìn)行通知時(shí),這個(gè)漏洞反而導(dǎo)致 XLM 宏可以在無(wú)任何提示的情況下在易受攻擊的系統(tǒng)上運(yùn)行。
在上周五的一份報(bào)告中,位于卡內(nèi)基梅隆大學(xué)的 CERT/CC 稱,這個(gè)問(wèn)題能夠讓未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者在 Mac 上運(yùn)行的 Office 上執(zhí)行任意代碼。
CERT/CC 在其漏洞說(shuō)明中表示,通過(guò)說(shuō)服用戶在 Mac 電腦上打開(kāi)專門制作的 Microsoft Excel 內(nèi)容,并啟用 “禁用所有宏而無(wú)需通知” 的功能,遠(yuǎn)程攻擊者可以獲得與合法用戶相同的系統(tǒng)訪問(wèn)權(quán)限。
攻擊者可以利用這個(gè)漏洞為所欲為。他們可以安裝病毒,竊取私人文件,或者安裝勒索軟件。無(wú)所限制。
微軟發(fā)言人在一份聲明中表示,微軟會(huì)全面調(diào)查報(bào)告的安全事件。
Dormann 表示,問(wèn)題在于 Microsoft Excel 處理 SYLK(符號(hào)鏈接)文件中的 XLM 內(nèi)容的方式。
XLM 是一種宏格式,在以前的 Excel 版本(包括 Excel 4.0)中可用。盡管此后的 Excel 版本都使用 VBA 宏,但微軟在后來(lái)的 Excel 版本中繼續(xù)支持 XLM 宏,包括最新的 Mac Office 版本。
SYLK 本身是一種文件格式,在 20 世紀(jì) 80 年代就出現(xiàn)了,SYLK 文件被用于在電子表格、數(shù)據(jù)庫(kù)和其他應(yīng)用程序之間傳輸數(shù)據(jù)。盡管現(xiàn)在很少使用 SYLK 文件,但是最近的 Office 和 Excel 版本仍然支持 SYLK 文件。
SYLK 文件中的宏是有問(wèn)題的,因?yàn)?Microsoft Office 不會(huì)在受保護(hù)的視圖中打開(kāi)它們——這是一種防止 Office 從不安全的地方下載文件的機(jī)制,CERT/CC 說(shuō)道。因此,SYLK 文件為攻擊者制造了一個(gè)機(jī)會(huì),可以在設(shè)備上偷偷運(yùn)行惡意代碼,而不會(huì)觸發(fā)任何常規(guī)的微軟安全警報(bào)。
Dormann 表示,去年 IT 安全公司 Outflank 的研究人員展示了攻擊者如何將惡意的 XLM 內(nèi)容嵌入到一個(gè) SYLK 文件中,并讓它在 Mac 的 Office 2011 中自動(dòng)執(zhí)行,而不會(huì)觸發(fā)任何用戶警告或宏提示。
當(dāng)時(shí),微軟指出不再支持 Mac Excel 2011,因此不符合安全更新的條件,Dormann 說(shuō)道。微軟指出 Mac Excel 2016 和 Mac Excel 2019 在相同情況下能做出正確的響應(yīng),Dormann 表示。
但現(xiàn)實(shí)是盡管 Excel 2016 和 2019 確實(shí)會(huì)在 SYLK 文件中的 XLM 宏運(yùn)行之前進(jìn)行提示,但這些提示只有在默認(rèn)安全設(shè)置為 “禁用所有宏并進(jìn)行通知” 的情況下才會(huì)出現(xiàn),他說(shuō)道。
如果用戶進(jìn)一步選擇 “禁用所有宏而無(wú)需通知選項(xiàng)”,則 XLM 宏將執(zhí)行相反的操作。Dormann 指出,這時(shí)候 XLM 宏運(yùn)行時(shí)不會(huì)產(chǎn)生任何宏提示,而且不僅是在 Mac Office 2011 中是如此,Mac Office 2016 和 Office 2019 也會(huì)出現(xiàn)同樣的情況。
這顯然是一個(gè)錯(cuò)誤。微軟可以修復(fù) Mac 版 Excel 在處理宏設(shè)置時(shí)的邏輯錯(cuò)誤,但這需要他們同時(shí)修復(fù)軟件并部署修復(fù)后的版本。
在此之前,Mac 用戶的最佳選擇是使用 “禁用所有宏并進(jìn)行通知” 設(shè)置。這種設(shè)置的代價(jià)是增加了現(xiàn)代 (VBA) 宏帶來(lái)的風(fēng)險(xiǎn),但是會(huì)防止 SYLK 中 XLM 宏自動(dòng)執(zhí)行。
自從 Outflank 發(fā)布在 SYLK 文件中使用 XLM 宏的技術(shù)以來(lái),攻擊者就一直在利用這一點(diǎn),Dormann 說(shuō)道。CERT/CC 發(fā)布了一個(gè)有關(guān)安全設(shè)置的新建議 “具有諷刺意味的是,這個(gè)本應(yīng)該保護(hù)Mac系統(tǒng)不受該技術(shù)利用的安全設(shè)置反而讓Mac更容易受到攻擊”,他補(bǔ)充道。