Recentemente è stata scoperta una vulnerabilità nelle app Microsoft per macOS che permette agli hacker di spiare gli utenti Mac. I ricercatori di sicurezza di Cisco Talos hanno rivelato in un post sul loro blog come questa falla potrebbe essere sfruttata e quali misure Microsoft sta adottando per risolvere il problema.
Il gruppo di cybersecurity Cisco Talos ha spiegato come una vulnerabilità presente in applicazioni come Microsoft Outlook e Teams potrebbe consentire agli hacker di accedere a microfono e fotocamera di un Mac senza il consenso dell’utente. L’attacco si basa sull’inserire librerie malware all’interno delle app Microsoft, permettendo agli hacker di acquisire i privilegi e le autorizzazioni già concessi dall’utente a tali applicazioni.
macOS utilizza un framework noto come Transparency Consent and Control (TCC), che gestisce le autorizzazioni delle app per accedere a servizi come la fotocamera, il microfono, i file della libreria foto e altre risorse. Ogni app deve ottenere un’autorizzazione specifica per richiedere questi permessi al sistema TCC. Le app che non possiedono queste autorizzazioni non possono nemmeno chiedere l’accesso, e di conseguenza non possono utilizzare risorse come la fotocamera.
Tuttavia, questa vulnerabilità permetteva ai software malevoli di sfruttare le autorizzazioni già concesse alle app Microsoft per ottenere accesso senza che l’utente venisse avvisato. “Abbiamo identificato otto vulnerabilità in diverse applicazioni Microsoft per macOS, attraverso le quali un attaccante potrebbe bypassare il modello di autorizzazioni del sistema operativo usando i permessi già esistenti, senza richiedere ulteriori verifiche all’utente”, spiegano i ricercatori.
Ad esempio, un hacker potrebbe creare un software malevolo in grado di registrare audio dal microfono o persino scattare foto senza alcuna interazione da parte dell’utente. “Tutte le app, eccetto Excel, hanno la capacità di registrare audio, e alcune possono anche accedere alla fotocamera”, aggiungono gli esperti.
Microsoft è al lavoro su una soluzione
Secondo Cisco Talos, Microsoft considera questo exploit come un “rischio basso” poiché dipende dal caricamento di librerie non firmate per supportare i plugin di terze parti. Dopo la segnalazione delle vulnerabilità, Microsoft ha aggiornato le app Microsoft Teams e OneNote per macOS, apportando modifiche al modo in cui queste gestiscono l’entitlement di validazione delle librerie. Tuttavia, Excel, PowerPoint, Word e Outlook risultano ancora vulnerabili a questo exploit.
I ricercatori si chiedono perché Microsoft abbia sentito il bisogno di disabilitare la validazione delle librerie, specialmente quando non ci si aspetta che vengano caricate librerie aggiuntive. “Utilizzando questo entitlement, Microsoft sta aggirando le protezioni offerte dal runtime rafforzato, esponendo potenzialmente gli utenti a rischi non necessari”, commentano gli esperti.
Contemporaneamente, i ricercatori notano che anche Apple potrebbe implementare modifiche al sistema TCC per renderlo più sicuro. Suggeriscono che il sistema dovrebbe avvisare gli utenti quando vengono caricati plugin di terze parti in app che hanno già ottenuto permessi.
Per maggiori dettagli sull’exploit, puoi visitare il blog di Cisco Talos.