MacOS破解背后30年的文件格式

安全專家本周透露，針對擁有Microsoft Office的Windows用戶的常用攻擊也可以潛入MacOS系統。一位前國家安全局安全專家在本周黑帽安全會議上致辭，總結了他對非常古老的漏洞利用的新用途的研究。

Patrick Wardle解釋說，此漏洞利用利用了Microsoft Office中的宏。黑客們長期以來一直在使用這種方法來誘騙用戶授予激活宏的權限，從而反過來秘密啟動惡意代碼。

但是Wardle指出，使用此類宏對Mac系統的攻擊始于2017年左右。2018年，互聯網安全公司Kaspersky發現證據表明，朝鮮黑客感染了加密貨幣交易所，這被認為是MacOS系統上的首次此類攻擊。根據去年聯合國發布的一份報告，居住在世界上最壓抑的政權下的黑客可能已經獲得了高達20億美元的加密貨幣黑客攻擊。

黑客程序利用了另外兩個弱點，一個是近30年的文件格式，近年來很少使用。盡管Microsoft Office通常在執行宏之前提示用戶，但舊的SYLK Excel文件格式(.SLK)不會觸發提示。因此，它可以用來繞過安全線。

Wardle指出，Microsoft Office處理舊文件的代碼與處理新文件的代碼不同。

Wardle說，當研究人員去年向蘋果發出.SLK漏洞警報時，微軟拒絕發布補丁程序，聲稱惡意代碼將包含在安全的Microsoft Office沙箱環境中。

Wardle狡猾地宣稱：“在NSA工作破壞了我的思想，并充滿了邪惡的想法，” Wardle開始測試沙盒保護的邊界。在幾天之內，他發現了一個漏洞。

他了解到，通過以“ $”字符開頭的文件名，文件可以脫離沙箱并避免被檢測到。

“安全研究人員喜歡這些古老的文件格式，因為它們是在沒人考慮安全的時候創建的，” Wardle告訴Motherboard。

微軟已經修復了SYLK漏洞，并表示正在與Apple溝通，以解決Wardle等人的研究提出的其他問題。

Wardle擔心這些黑客行為可能只是冰山一角。

Wardle告訴《連線》雜志：“設計如此簡單的東西讓我感到驚訝。” “我確實有這樣做的經驗，但是認為資源豐富的黑客團體沒有關注這一點并且沒有類似的才干(如果不是更多的話)，這對我來說很自高。這是一個非常廣泛的攻擊媒介。足夠了機智靈巧的黑客將找到獲取訪問權限并在Mac系統上持久存在的方法。”

發現SYLK宏漏洞的荷蘭研究員Stan Hegt稱贊Wardle的研究，但同時警告說可能還會出現更多問題。

Hegt表示：“他現在已經建立了完整的利用鏈，這一事實無疑證明了這一點。” “我很確定，如果您深入研究Office，尤其是在Mac上，還有更多麻煩的問題需要發現。