Computerbeveiligingsexperts waarschuwen voor een gevaarlijke en aanhoudende aanval op macOS-gebruikers door een fout te gebruiken die wordt beschreven in het CVE-2019-1457-advies. Hackinggroepen misbruiken deze fout om complexe infecties te plannen en uit te voeren. Dit wordt de laatste tijd gezien als een van de gevaarlijkere documentgebaseerde exploitatieketens.
macOS-gebruikers aangevallen via CVE-2019-1457 Complexe exploits met macro-geïnfecteerde documenten
Macro-gebaseerde documentaanvallen zijn een van de populaire mechanismen die veel worden gebruikt door computercriminelen op Windows. Hoewel de meeste van hen een relatief eenvoudige benadering gebruiken door een payload in te sluiten die rechtstreeks in de macro's van oplichtingsbestanden wordt gedownload, er is nu een veel complexere methode ontdekt.
Het advies van CVE-2019-1457 laat zien hoe de populaire aanvalsaanpak in de meeste gevallen wordt uitgevoerd. Dit is een bug die is aangetroffen in Microsoft Office-versies die ook bekend staan als de Bypass van Microsoft Office Excel-beveiligingsfunctie — door het in de doelbestanden in te voegen. Er wordt bevestigd dat dit werkt met versie 2016 en 2019 op macOS. De hackers zullen doelgebruikersgegevens creëren en de kwaadaardige macro's daarin invoegen. Meestal zullen ze worden geprogrammeerd om een soort van ladingdrager voor een bepaalde malware op te nemen.
Met behulp van geavanceerde hackertactieken en macro's die op deze geavanceerde manier waren gemaakt, ontdekten analisten dat het mogelijk is misbruik maken van het sandbox-profiel van de Office-app die de beveiliging van het programma overschrijft. Als gevolg hiervan kunnen de makers van malware overal op het doelbestandssysteem een bestand maken. Hierdoor kunnen de op deze manier gecreëerde macro-geïnfecteerde documenten worden gebruikt lanceer complexe lokale malware met de noodzakelijke stappen die de beveiliging van het besturingssysteem zullen omzeilen. Als gevolg hiervan kunnen de volgende acties worden uitgevoerd tijdens het installeren van elke vorm van malware-payload:
- Beveiligingsfuncties Bypass — De opdrachten die in de gehoste code kunnen worden ingevoegd, kunnen worden gebruikt om de beveiligingstoepassingen en -services te omzeilen die deel kunnen uitmaken van het besturingssysteem. Dit omvat antivirusclients, firewalls, intrusiedetectiesystemen en virtual machine hosts.
- Systeemconfiguratiewijzigingen — De viruscode kan het systeem herprogrammeren, wat kan leiden tot Wijzigingen in het Windows-register of systeem boot configuratie verandert. De gebruikers zullen prestatieproblemen ervaren bij het uitvoeren van bepaalde functies, gegevensverlies of zelfs het verwijderen van gevoelige gebruikersbestanden. In veel gevallen kan de vervoerde lading worden geconfigureerd om automatisch te starten wanneer de computer wordt ingeschakeld. Het kan ook de toegang tot bepaalde herstelopties weigeren.
- Wijzigingen in bestanden — In veel gevallen kunnen de hackers via deze documenten het onderliggende kantoorprogramma programmeren om nieuwe bestanden te maken of de inhoud van bestaande bestanden te bewerken.
Met deze aanpak kunnen veel van de virussen in alle populaire categorieën worden geleverd. Vooral gevaarlijk zijn de Clientinfecties met een Trojaans paard die worden gebruikt om de controle over de hosts over te nemen. Meer en meer macOS ransomware worden ook gepusht met deze methode. Dit zijn virussen voor het versleutelen van bestanden die zijn ontworpen om gebruikersbestanden te verwerken en vervolgens de slachtoffers af te persen voor een cryptocurrency-betaling.