Cisco acusa a Microsoft: MS Office podría espiar en Mac

El equipo de Cisco Talos descubrió 8 vulnerabilidades en aplicaciones de Microsoft para macOS, que permiten obtener acceso a permisos y privilegios otorgados a ciertas aplicaciones.

Estas fallas permiten a un atacante inyectar bibliotecas maliciosas en aplicaciones de Microsoft, evadiendo el modelo de seguridad de macOS y utilizando permisos existentes sin notificar al usuario.

Los permisos en macOS regulan el acceso de las aplicaciones a recursos como el micrófono, la cámara, carpetas, grabación de pantalla y otros. Si un ciberdelincuente obtiene acceso a estos permisos, podría acceder a información confidencial o incluso elevar sus privilegios en el sistema. En caso de un ataque exitoso, el atacante podría, por ejemplo, enviar correos en nombre del usuario, así como grabar audio o video sin su conocimiento.

Cisco Talos describió detalladamente cómo se pueden explotar estas vulnerabilidades para evadir el modelo de seguridad de macOS, que se basa en el sistema TCC (Transparencia, Consentimiento y Control). TCC requiere el consentimiento explícito del usuario para acceder a datos personales y recursos del sistema, lo que proporciona protección contra el acceso no autorizado.

Por ejemplo, el malware podría utilizar los permisos de las aplicaciones de Microsoft para realizar acciones no autorizadas. A pesar de la gravedad de la situación, Microsoft calificó los problemas como menores y se negó a corregir algunos de ellos, alegando que para admitir plugins, algunas aplicaciones deben permitir la carga de bibliotecas no firmadas.

Durante el análisis, Cisco Talos descubrió las siguientes vulnerabilidades, asignándoles identificadores y los correspondientes CVE:

• TALOS-2024-1972 / CVE-2024-42220 - Microsoft Outlook
• TALOS-2024-1973 / CVE-2024-42004 - Microsoft Teams (trabajo o escuela)
• TALOS-2024-1974 / CVE-2024-39804 - Microsoft PowerPoint
• TALOS-2024-1975 / CVE-2024-41159 - Microsoft OneNote
• TALOS-2024-1976 / CVE-2024-43106 - Microsoft Excel
• TALOS-2024-1977 / CVE-2024-41165 - Microsoft Word
• TALOS-2024-1990 / CVE-2024-41145 - Microsoft Teams (trabajo o escuela) en la aplicación WebView.app
• TALOS-2024-1991 / CVE-2024-41138 - Microsoft Teams (trabajo o escuela) en la aplicación auxiliar com.microsoft.teams2.modulehost.app

Se prestó especial atención a cómo los problemas detectados permiten, por ejemplo, que un atacante inyecte bibliotecas en el proceso de la aplicación, abriendo la posibilidad de utilizar todos los permisos que anteriormente se habían otorgado a esa aplicación. En otras palabras, un ciberdelincuente podría realizar cualquier acción para la cual el usuario ya había otorgado permiso, sin necesidad de solicitarlo nuevamente.

Aunque Apple proporciona medidas de protección bastante fuertes, incluyendo la confirmación obligatoria para acceder a datos confidenciales, las vulnerabilidades detectadas muestran que estas medidas de seguridad pueden ser eludidas.

A pesar de que Microsoft señaló que el riesgo de estas vulnerabilidades es bajo, 4 de las 8 aplicaciones han sido corregidas. Sin embargo, las aplicaciones Microsoft Excel, Outlook, PowerPoint y Word siguen siendo vulnerables.

Cisco Talos destaca la importancia de prestar atención a las cuestiones de seguridad, especialmente en el contexto del uso de plugins de terceros. Estas vulnerabilidades muestran que incluso los riesgos relativamente bajos pueden convertirse en una amenaza grave si no se abordan adecuadamente. Por ello, las empresas que desarrollan software deben tomar todas las medidas para prevenir posibles ataques y proteger los datos de sus usuarios.

Los dispositivos basados en macOS se están convirtiendo en un objetivo cada vez más frecuente de los hackers. La empresa Intel 471 identificó más de 40 grupos de hackers interesados en malware y exploits para la plataforma Apple. Desde el año pasado, al menos 21 atacantes han buscado oportunidades para adquirir malware para macOS, y algunos de ellos están interesados en servicios para la distribución de malware ya existente. Un número similar de hackers ya está atacando activamente el sistema.