元NSAハッカーのパトリック・ウォードル氏は、Microsoft Office for Macにセキュリティ上の脆弱性を発見しました。この脆弱性により、ハッカーはMac全体を制御できる可能性があります。ウォードル氏は、悪意のあるコードが含まれた単純なOffice文書だけで、コンピュータへのアクセスに成功しました。

Viceの報道によると、今回の侵害は「マクロ」機能に基づいており、この機能はユーザーがカスタムコマンドと指示を使ってMicrosoft Officeアプリ内の一部のタスクを自動化することを可能にします。このような攻撃はWindowsでは一般的ですが、Wardle氏は今回、macOSでも同様の攻撃が可能であることを実証しました。

悪意のあるコードを挿入するために、ハッカーはMicrosoft Officeアプリで発見した様々な脆弱性やバグを利用しました。彼はmacOSのセキュリティシステムを回避できるよう、SLK形式のファイルを作成しました。この形式はMicrosoft Officeで使用されているため、たとえユーザーが不明なソースからファイルをダウンロードしたとしても、macOSはユーザーに本当にファイルを開いてよいか確認しません。

セキュリティ研究者は、誰もセキュリティについて考えていなかった時代に作成されたこれらの古いファイル形式を好みます。

「$」文字で始まるファイルを作成することで、悪意のあるコードはMicrosoft Officeのサンドボックスを突破し、オペレーティングシステムの他の部分にアクセスできるようになります。ハッカーは、Microsoft Excelを使ってユーザーの許可なく電卓アプリを開くことで悪意のあるコードを実演していますが、このコードは他の用途にも使用できます。

ウォードル氏が指摘するように、一部のユーザーはシステムアラートを読まず、ダイアログボックスをスキップするためだけにオプションをクリックする可能性がある。ハッカーは少なくとも数台のコンピュータにアクセスしようと狙うのは、まさにこの段階だ。「人間はせっかちだが、エクスプロイトはせっかちである必要はない」と彼は述べた。ウォードル氏はこの問題をAppleに報告したが、同社からは何の返答もなかった。

繰り返しになりますが、セキュリティ研究者である私たちが、基本的に無償でセキュリティ研究を行っているというのは、少しもどかしい気持ちです。Macユーザーである私たち自身だけでなく、他のMacユーザーのためにも、プラットフォームのエコシステムのセキュリティ向上に貢献できると信じているからです。

これらのセキュリティ侵害は、Microsoft Office for Macの最新バージョンとmacOS Catalina 10.15.3で修正されています。ただし、定期的にソフトウェアアップデートをインストールしていないユーザーには依然として影響が出る可能性があります。MicrosoftはViceに対し、Wardle氏が発見したような問題を特定し解決するために、Appleと継続的に協議を行っていると述べました。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。