Computersikkerhedseksperter advarer om et farligt og vedvarende angreb mod macOS-brugere ved at bruge en fejl, der er beskrevet i CVE-2019-1457-rådgivningen. Hackinggrupper misbruger denne fejl for at planlægge og udføre komplekse infektioner. Dette ses som en af de mere farlige dokumentbaserede udnyttelseskæder i nyere tid.
macOS-brugere angreb via CVE-2019-1457 komplekse udnyttelser ved hjælp af makroinficerede dokumenter
Makrobaserede dokumentangreb er en af de populære mekanismer, der ofte bruges af computerkriminelle på Windows. Selvom de fleste af dem bruger en relativt enkel tilgang ved at integrere en nyttelast, der downloades direkte i makroerne til fidusfiler, der er nu en meget mere kompleks metode, der er blevet detekteret.
CVE-2019-1457-rådgivningen viser, hvordan den populære angrebsmetode udføres i de fleste tilfælde. Dette er en fejl, der findes i Microsoft Office-versioner, som alternativt er kendt som Microsoft Office Excel-sikkerhedsfunktion Omgå — ved at indsætte det i målfilerne. Det bekræftes, at dette fungerer med version 2016 og 2019 på macOS. Hackerne opretter målbrugerdata og indsætter de ondsindede makroer i dem. Normalt vil de blive programmeret til at inkludere en form for en nyttelastbærer for en bestemt malware.
Ved hjælp af avanceret hacker-taktik og makroer oprettet på denne sofistikerede måde opdagede analytikere, at det er muligt misbruger Office-appens sandkasseprofil som tilsidesætter programmets sikkerhed. Som et resultat kan malware-skaberne oprette en fil hvor som helst på målfilsystemet. Som et resultat kan de makroinficerede dokumenter oprettet på denne måde bruges til lancere kompleks lokal-baseret malware med de nødvendige trin, der vil omgå operativsystemets sikkerhed. Som et resultat kan følgende handlinger udføres, mens du installerer enhver form for malware-nyttelast:
- Sikkerhedsfunktioner Omgå — Kommandoerne, der kan indsættes i den hostede kode, kan bruges til at omgå sikkerhedsapplikationer og -tjenester, der kan være en del af operativsystemet. Dette inkluderer antivirus-klienter, firewalls, intrusion detection systemer og virtuelle maskine værter.
- Systemkonfiguration Ændringer — Viruskoden kan omprogrammerer det system, der kan føre til Ændringer i Windows-registerværdier eller ændringer i systemstartkonfiguration. Brugerne vil opleve ydelsesproblemer, når de kører visse funktioner, datatab eller endda fjernelse af følsomme brugerfiler. I mange tilfælde kan den transporterede nyttelast konfigureres til at starte automatisk, når computeren er tændt. Det kan også nægte adgang til visse gendannelsesindstillinger.
- Ændringer af filer — I mange tilfælde gennem disse dokumenter kan hackere programmere det underliggende kontorprogram til at oprette nye filer eller redigere indholdet af eksisterende.
Ved hjælp af denne fremgangsmåde kan mange af viraerne i alle populære kategorier leveres. Specielt farlige er Trojan hesteklient infektioner der bruges til at overtage kontrollen over værterne. Mere og mere macOS ransomware skubbes også ved hjælp af denne metode. Dette er filkrypterende vira, som er designet til at behandle brugerfiler og derefter udpresse ofrene til en cryptocurrency-betaling.
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: