El grupo de ciberseguridad descubrió múltiples vulnerabilidades en las aplicaciones que desarrollaba microsoft a Impermeable Estas fallas de seguridad permitieron a los piratas informáticos atacar a los usuarios. Los fallos de seguridad afectan a aplicaciones como Microsoft Office, Outlook, Teams, OneNote y otras aplicaciones de la compañía de Redmond, y los piratas informáticos pudieron acceder a la cámara y al micrófono del usuario abusando del marco de permisos de Apple en su sistema operativo de escritorio, mientras que Microsoft emitió correcciones para dos. de sus aplicaciones en macOS Sin embargo, sus otras aplicaciones siguen siendo vulnerables a los atacantes.
Vulnerabilidades en aplicaciones de Microsoft permiten a piratas informáticos acceder a cámara y micrófono sin permiso
El grupo de ciberseguridad Cisco Talos ha revelado detalles de ocho vulnerabilidades detectadas en aplicaciones de Microsoft para macOS en BlogEstas fallas permitieron a los piratas informáticos inyectar bibliotecas maliciosas especialmente creadas en seis aplicaciones de Microsoft: Esperanzas de heredar, la diferencia, Presentación, Sobresalir, palabra, Una nota -Y omitir el modelo de permisos de Apple en macOS.
Cómo los piratas informáticos pueden inyectar bibliotecas maliciosas en aplicaciones legítimas en macOS
Crédito de la imagen: Cisco Talos
Para acceder al micrófono y la cámara de un usuario, el malware debe darle al usuario su consentimiento explícito a los permisos pertinentes, según manzana Marco de transparencia, consentimiento y control (TCC) en macOS. Sin embargo, algunos programas maliciosos pueden utilizar un proceso llamado inyección de biblioteca (o inyección dylib en macOS) para acceder a permisos otorgados a otras aplicaciones.
Como resultado, los usuarios de macOS que tienen aplicaciones de Microsoft instaladas en sus computadoras pueden ser vulnerables al hack, según Cisco Talos. Las fallas permitieron a los piratas informáticos grabar audio inyectando bibliotecas en las aplicaciones anteriores. Microsoft Excel es la única aplicación de la lista que no tiene acceso al micrófono, mientras que aplicaciones como Microsoft Teams también pueden acceder a la cámara del dispositivo.
Microsoft está reparando dos aplicaciones afectadas y otras aplicaciones aún están en riesgo
El grupo de ciberseguridad dice que notificó a Microsoft sobre las vulnerabilidades y desde entonces la compañía actualizó dos de las aplicaciones afectadas con correcciones para las fallas. Los usuarios que utilicen las últimas versiones de Microsoft Teams y OneNote no se verán afectados, pero las aplicaciones Outlook y Office de la empresa sí se ven afectadas actualmente por la falla de seguridad.
Según Cisco Talos, Microsoft no debería deshabilitar la validación de la biblioteca, ya que expone a los usuarios a riesgos innecesarios al eludir las estrictas protecciones de tiempo de ejecución que Apple ha implementado en el sistema operativo, diseñadas para proteger a los usuarios a través del TCC y su modelo de permisos.
Apple puede aumentar la seguridad en macOS alertando a los usuarios cuando un complemento de terceros carga aplicaciones, donde es posible que esas aplicaciones ya tengan permisos. Esto puede advertir a los usuarios que estos complementos de terceros pueden acceder a los mismos permisos que la aplicación original.