Scoperta una grave vulnerabilità nelle app Microsoft per macOS
Una recente scoperta dei ricercatori di sicurezza di Cisco Talos ha rivelato una grave vulnerabilità nelle app Microsoft per macOS, come Outlook e Teams, che ha permesso agli hacker di accedere a microfoni e telecamere dei Mac senza il consenso degli utenti. Questo exploit sfrutta le librerie malevole iniettate nelle app Microsoft per ottenere i permessi necessari per attivare tali dispositivi, mettendo così a rischio la privacy degli utenti.
Il gruppo di sicurezza Cisco Talos, specializzato nella prevenzione di malware e sistemi, ha spiegato in un post sul blog come questa vulnerabilità possa essere utilizzata per attaccare i Mac. Il problema riguarda il framework di macOS chiamato Transparency Consent and Control (TCC), che gestisce le autorizzazioni delle app per accedere a servizi come la posizione, la fotocamera, il microfono e altri file sensibili.
In macOS, ogni app necessita di un “entitlement” per richiedere permessi dal TCC. Le app senza questi permessi non possono accedere a dispositivi come la fotocamera o il microfono. Tuttavia, l’exploit scoperto consente a software dannoso di sfruttare i permessi già concessi alle app Microsoft, senza dover richiedere ulteriori autorizzazioni all’utente.
I ricercatori hanno identificato otto vulnerabilità in diverse applicazioni Microsoft per macOS, attraverso le quali un attaccante potrebbe bypassare il modello di permessi del sistema operativo utilizzando i permessi già concessi alle app senza richiedere alcuna verifica aggiuntiva all’utente. Ciò significa che un hacker potrebbe, ad esempio, creare un software malevolo per registrare audio dal microfono o scattare foto senza alcuna interazione da parte dell’utente.
Cisco Talos ha riferito che Microsoft considera questo exploit a “basso rischio”, poiché si basa sul caricamento di librerie non firmate per supportare plugin di terze parti. Dopo la segnalazione degli exploit, l’azienda ha aggiornato le app Microsoft Teams e OneNote per macOS modificando il modo in cui gestiscono la convalida delle librerie. Tuttavia, applicazioni come Excel, PowerPoint, Word e Outlook rimangono ancora vulnerabili all’exploit.
I ricercatori hanno anche sollevato dubbi sulla necessità di Microsoft di disabilitare la convalida delle librerie, soprattutto quando non è previsto il caricamento di librerie aggiuntive. In questo modo, Microsoft sta bypassando le protezioni offerte dall’ambiente runtime rinforzato, esponendo potenzialmente gli utenti a rischi inutili.
Oltre a Microsoft, Cisco Talos suggerisce che Apple potrebbe implementare modifiche al sistema TCC per rendere il sistema più sicuro. Una proposta è che il sistema chieda conferma agli utenti ogni volta che si caricano plugin di terze parti in app che hanno già ottenuto permessi.
