Meerdere kwetsbaarheden in Microsoft apps voor Apple macOS
Er zijn meerdere kwetsbaarheden in Microsoft apps voor Apple macOS ontdekt zo meldt Cisco Talos. Cisco Talos heeft acht kwetsbaarheden geïdentificeerd in Microsoft-applicaties voor het macOS-besturingssysteem. Een kwaadwillende zou misbruik kunnen maken van deze kwetsbaarheden door schadelijke bibliotheken in Microsoft-applicaties te injecteren om zo rechten en door de gebruiker verleende machtigingen te verkrijgen.
Csco Talos heeft onlangs een analyse uitgevoerd van macOS-applicaties en de exploiteerbaarheid van het op toestemming gebaseerde beveiligingsmodel van het platform, dat zich richt op het Transparency, Consent, and Control (TCC)-framework.
Cisco Talos meldt: We hebben acht kwetsbaarheden geïdentificeerd in verschillende Microsoft-applicaties voor macOS, waarmee een aanvaller het toestemmingsmodel van het besturingssysteem kan omzeilen door bestaande app-machtigingen te gebruiken zonder de gebruiker om aanvullende verificatie te vragen. Als dit lukt, kan de aanvaller alle privileges verkrijgen die al zijn verleend aan de getroffen Microsoft-applicaties.
De aanvaller kan bijvoorbeeld e-mails verzenden vanaf het gebruikersaccount zonder dat de gebruiker het merkt, audioclips opnemen, foto's maken of video's opnemen zonder enige interactie van de gebruiker. Microsoft beschouwt deze problemen als een laag risico en sommige van hun applicaties moeten volgens hen het laden van niet-ondertekende bibliotheken toestaan om plug-ins te ondersteunen en hebben geweigerd de problemen op te lossen. Hier is de lijst met kwetsbaarheden die Talos ontdekte met hun Talos-ID's en bijbehorende CVE's:
| Talos-ID | CVE | App-naam |
|---|---|---|
| TALOS-2024-1972 | CVE-2024-42220 | Microsoft Outlook |
| TALOS-2024-1973 | CVE-2024-42004 | Microsoft Teams (werk of school) |
| TALOS-2024-1974 | CVE-2024-39804 | Microsoft PowerPoint |
| TALOS-2024-1975 | CVE-2024-41159 | Microsoft OneNote |
| TALOS-2024-1976 | CVE-2024-43106 | Microsoft Excel |
| TALOS-2024-1977 | CVE-2024-41165 | Microsoft Word |
| TALOS-2024-1990 | CVE-2024-41145 | Microsoft Teams (werk of school) WebView.app helper-app |
| TALOS-2024-1991 | CVE-2024-41138 | Microsoft Teams (werk of school) com.microsoft.teams2.modulehost.app |
Commentaar Jamf
Michael Covington, Vice President of Portfolio Strategy bij Jamf, zegt naar aanleiding van dit nieuws: “Apple heeft voor macOS een gelaagd securitymodel gemaakt dat zowel de privacy van de gebruiker als de integriteit van het device moet beschermen. Door een combinatie van geautomatiseerde checks, app-rechten en door de gebruiker gecontroleerde machtigingen, werkt het systeem over het algemeen goed om mainstream-aanvallen te voorkomen op devices met up-to-date software. Securityoplossingen zijn echter complex en als slechts één onderdeel niet goed werkt, kan dit het hele model kapot maken.
De ‘defense in depth’ benadering die macOS hanteert, vereist vertrouwen in de applicaties om zelf permissies te beheren. Dit is een risico in scenario's waarin applicaties die hogere rechten hebben gekregen, gekaapt kunnen worden door aanvallers. Hierdoor kunnen deze apps onbedoeld ongeautoriseerde toegang bieden tot gevoelige informatie.
In dit geval bleek dat Microsoft-apps de checks op het laden van third-party libraries uitschakelden. Dit is een opmerkelijke fout in apps die machtigingen nodig hebben voor systeemonderdelen die door Apple worden beheerd, zoals de camera of microfoon. Gebruikers zijn geneigd om dergelijke machtigingen te verlenen aan collaborationtools zoals Microsoft Teams of andere tools zoals OneNote. Gelukkig heeft Microsoft toegezegd om deze applicaties te updaten.
Sommige apps, zoals Microsoft Word, Excel, Outlook en PowerPoint krijgen deze fix echter niet en blijven dus kwetsbaar voor aanvallen. Waakzame gebruikers zullen deze productiviteitstools echter waarschijnlijk geen gevoelige toegangsrechten geven, waardoor het risico laag blijft. De vraag blijft echter of dit lagere risico het waard is om voor verwarring te zorgen bij gebruikers.”
Over Witold Kepinski
