Apple Microsoft macOS эксплоит песочница Microsoft 365 Defender
С помощью короткого кода можно обойти ограничения безопасности macOS
Microsoft опубликовала код эксплойта для уязвимости в macOS, которая может помочь злоумышленнику обойти ограничения песочницы и запустить код в системе. Компания опубликовала технические подробности проблемы безопасности CVE-2022-26706 и объяснила, как можно обойти правила песочницы приложения macOS, чтобы позволить вредоносному макрокоду в документах Word выполнять команды на машине.
«Несмотря на ограничения безопасности приложений, налагаемые правилами песочницы приложений», киберпреступник может обойти правила и выполнить произвольные команды за пределами песочницы на уязвимом устройстве», — написала Microsoft в отчете .
Джонатан Бар Ор из исследовательской группы Microsoft 365 Defender объяснил, что уязвимость была обнаружена при изучении методов запуска и обнаружения вредоносных макросов в документах Microsoft Office на macOS.
Согласно более ранним отчетам [ 1 , 2 ], команда «
open –stdin» в Python-файле с префиксом
«~$», который определен в правилах песочницы приложения, позволяет выйти за пределы песочницы приложения в macOS и привести к компрометации системы. Команда «-stdin» позволяет обойти ограничение расширенного атрибута «com.apple.quarantine» .
«Python успешно запускает наш код, а поскольку это дочерний процесс запуска, он не привязан к правилам песочницы Word», — объясняет Джонатан Ор Бар.
Исследователям даже удалось сжать приведенный выше код эксплойта настолько, что он поместился в размер твита. Microsoft сообщила Apple об уязвимости в октябре 2021 года, а исправление было выпущено с обновлениями безопасности macOS в мае 2022 года (Big Sur 11.6.6). Однако, исследователь безопасности Арсений Костромин самостоятельно раскрыл уязвимость гораздо раньше.
SECURITYLAB.RU
