Cisco Talos ha identificado ocho vulnerabilidades en aplicaciones de Microsoft para el sistema operativo macOS. Según Cisco, las vulnerabilidades en varias aplicaciones de Microsoft para macOS podrían permitir a los atacantes eludir los permisos del sistema y realizar diversas operaciones nefastas.
Cisco y Apple mantienen una estrecha relación desde hace tiempo en temas de ciberseguridad. Tanto es así, que incluso en 2017 Tim Cook visitó el evento anual organizado por Cisco Systems junto a Chuck Robbins (director ejecutivo de Cisco).
Según Cisco, los problemas que afectan a Outlook, Teams, PowerPoint, OneNote, Excel y Word, podrían explotarse para enviar correos electrónicos sin el conocimiento del usuario, grabar audio o video y tomar fotografías sin la interacción del usuario.
Cisco afirma que las fallas permiten a los atacantes eludir el modelo de permisos del sistema operativo y obtener los privilegios ya otorgados a las aplicaciones vulnerables, lo que podría filtrar información confidencial.
Cisco identificó ocho vulnerabilidades y explicó que todas tienen la misma causa raíz: los atacantes podrían inyectar bibliotecas sin firmar en las aplicaciones de Microsoft para macOS para potencialmente elevar los privilegios.
- CVE-2024-42220 (Outlook)
- CVE-2024-39804 (PowerPoint)
- CVE-2024-41159 (OneNote)
- CVE-2024-43106 (Excel)
- CVE-2024-41165 (Word)
- CVE-2024-42004 (Teams – trabajo o educación) (aplicación principal)
- CVE-2024-41145 (Teams – trabajo o educación) (WebView.app helper app)
- CVE-2024-41138 (Teams – trabajo o educación) (com.microsoft.teams2.modulehost.app)
«Una aplicación maliciosa podría inyectar una biblioteca e iniciar el programa para desencadenar esta vulnerabilidad y luego hacer uso de los permisos de la aplicación vulnerable«, señala Cisco para cada una de las fallas.
Microsoft considera los errores de bajo riesgo y, en algunos casos, se ha negado a abordar el problema, alegando que el software debería admitir la carga de bibliotecas no firmadas, que probablemente admitan varios complementos, dice Cisco.
Cisco, sin embargo, que les asignó a todos una calificación de «alta gravedad», argumenta que las vulnerabilidades permiten a los atacantes eludir las políticas de macOS que requieren que todas las aplicaciones soliciten explícitamente el permiso del usuario antes de acceder a los recursos protegidos.
Este mecanismo, que funciona en conjunto con los derechos (capacidades requeridas para la funcionalidad de las aplicaciones), tiene como objetivo garantizar que los usuarios tengan el control de su información y de qué aplicaciones pueden acceder a ella.
Otros mecanismos de seguridad en macOS incluyen sandboxing, que restringe el acceso de las aplicaciones a recursos y datos, y tiempo de ejecución reforzado, que protege contra la inyección de código, como la inyección de biblioteca, que permite a los atacantes ejecutar código en el proceso de otra aplicación.
Según Cisco, si bien muchas de las aplicaciones de Microsoft para macOS emplean un tiempo de ejecución reforzado, también tienen habilitado un derecho riesgoso, que permite a un atacante «inyectar cualquier biblioteca y ejecutar código arbitrario dentro de la aplicación comprometida» y explotar los permisos y derechos de la aplicación.
Microsoft Word, Excel, Outlook, OneNote y PowerPoint se ven afectados, lo que permite la carga de bibliotecas dinámicas sin firmar. La aplicación principal de Teams también se ve afectada, junto con las aplicaciones auxiliares WebView y com.microsoft.teams2.modulehost.app.
Dependiendo de los derechos de cada aplicación, los atacantes podrían realizar varias acciones: excepto Outlook, las aplicaciones de Office permiten el envío de correos electrónicos sin el conocimiento del usuario; a excepción de Excel, pueden grabar audio; y se puede utilizar para extraer entradas de llavero que pertenecen a un grupo de acceso específico.
Los derechos para la aplicación principal de Teams podrían permitir a los atacantes acceder a la cámara y al micrófono. Las de una de las aplicaciones auxiliares le permiten tomar fotografías, grabar audio y filtrar datos, mientras que las de la segunda ayuda le permiten solicitar permiso de grabación de audio.
Microsoft actualizó las aplicaciones de Teams y OneNote para macOS y les eliminó el derecho riesgoso. Las otras cuatro aplicaciones siguen siendo vulnerables, afirma Cisco.
«Las aplicaciones vulnerables dejan la puerta abierta para que los adversarios exploten todos los derechos de las aplicaciones y, sin que el usuario lo solicite, reutilicen todos los permisos ya otorgados a la aplicación, sirviendo efectivamente como intermediario de permisos para el atacante«, argumenta Cisco.