根據 Cisco Talos 的最新研究，macOS 上的八個微軟應用程序容易受到庫注入攻擊，有可能讓攻擊者劫持應用程序的權限并泄露敏感數據。

受影響的微軟應用程序包括 Microsoft Teams、Outlook、PowerPoint 和 Word 等流行服務，共有八個 CVE 編號。

• Microsoft Outlook: CVE-2024-42220
• Microsoft Teams (work or school): CVE-2024-42004
• Microsoft PowerPoint: CVE-2024-39804
• Microsoft OneNote: CVE-2024-41159
• Microsoft Excel: CVE-2024-43106
• Microsoft Word: CVE-2024-41165
• Microsoft Teams (work or school) WebView.app helper app: CVE-2024-41145
• Microsoft Teams (work or school) com.microsoft.teams2.modulehost.app: CVE-2024-41138

攻擊者通過使用現有的應用程序權限而不提示用戶進行任何額外驗證來繞過 macOS 的權限模型，這樣，就可以在用戶未察覺的情況下從用戶賬戶發送電子郵件、錄制音頻片段、拍照或錄制視頻，而無需與用戶進行任何交互。

macOS 的許可模式受到審查

Cisco Talos 強調了 macOS 基于用戶同意的權限模型，該模型包含旨在保護用戶隱私和維護系統安全的功能。但研究發現，macOS 對應用程序的權限管理過于信任，允許它們自我監管，這一缺陷可能使攻擊者得以利用應用程序的高級權限。

更令人擔憂的是，八款流行的微軟  macOS 應用程序都激活了禁用庫驗證的權限“com.apple.security.cs.disable-library-validation ”。

據蘋果公司稱，該權限允許加載由第三方開發者簽名的插件，旨在增強應用程序的功能性。但這一機制存在安全隱患，攻擊者可能利用這一點注入任意庫，并在被攻擊的應用程序中運行惡意代碼，進而完全控制應用程序的權限和功能。

研究人員還觀察到，macOS 上的所有 Microsoft Office 應用程序都允許加載未簽名的動態庫。如果要修改已經執行過一次的應用程序，需要特定的權限。不過，攻擊者可以通過將應用程序復制到如 /tmp 等其他文件夾來繞過這一安全措施，但這也增加了數據泄露和系統被攻擊的風險。

研究人員指出，由于存在相對導入和禁用庫驗證的權限，所有 Microsoft Office 應用程序都容易受到庫注入攻擊。

微軟用戶面臨不必要的風險

Cisco Talos 的研究人員說，他們的發現讓人們對禁用庫驗證的必要性產生了疑問，尤其是應用程序不打算加載其他庫的情況下。微軟通過使用特定權限繞開了 macOS 的加固安全措施，這可能使用戶面臨原本不必要的風險。

在 Cisco Talos 報告漏洞后，微軟雖然認為發現的問題風險較低，但已經對其中的四款應用程序進行了更新，移除了 com.apple.security.cs.disable-library-validation 權限，這意味著它們不再容易受到已知庫注入攻擊的威脅。

這四款應用程序是 Microsoft Teams 的主應用程序、WebView 應用程序和 ModuleHost 應用程序，以及 Microsoft OneNote。不過，截至 2024 年 8 月 19 日，Microsoft Excel、Outlook、PowerPoint 和 Word 仍然存在漏洞。

檢查 macOS 應用程序是否易受庫注入攻擊影響的流程圖  來源：Cisco Talos

研究人員建議，macOS 可以引入用戶提示來降低這一風險。這將允許用戶決定是否加載特定的第三方插件，從而提供一種更可控的訪問授權方式。