Бесплатно Экспресс-аудит сайта:

15.07.2022

Твит-эксплойт обнаружен в macOS

Microsoft опубликовала код эксплойта для уязвимости в macOS, которая может помочь злоумышленнику обойти ограничения песочницы и запустить код в системе. Компания опубликовала технические подробности проблемы безопасности CVE-2022-26706 и объяснила, как можно обойти правила песочницы приложения macOS, чтобы позволить вредоносному макрокоду в документах Word выполнять команды на машине.

«Несмотря на ограничения безопасности приложений, налагаемые правилами песочницы приложений», киберпреступник может обойти правила и выполнить произвольные команды за пределами песочницы на уязвимом устройстве», — написала Microsoft в отчете .

Джонатан Бар Ор из исследовательской группы Microsoft 365 Defender объяснил, что уязвимость была обнаружена при изучении методов запуска и обнаружения вредоносных макросов в документах Microsoft Office на macOS.

Согласно более ранним отчетам [ 1 , 2 ], команда «open –stdin» в Python-файле с префиксом «~$», который определен в правилах песочницы приложения, позволяет выйти за пределы песочницы приложения в macOS и привести к компрометации системы. Команда «-stdin» позволяет обойти ограничение расширенного атрибута «com.apple.quarantine» .

«Python успешно запускает наш код, а поскольку это дочерний процесс запуска, он не привязан к правилам песочницы Word», — объясняет Джонатан Ор Бар.

Исследователям даже удалось сжать приведенный выше код эксплойта настолько, что он поместился в размер твита. Microsoft сообщила Apple об уязвимости в октябре 2021 года, а исправление было выпущено с обновлениями безопасности macOS в мае 2022 года (Big Sur 11.6.6). Однако, исследователь безопасности Арсений Костромин самостоятельно раскрыл уязвимость гораздо раньше.