アメリカのコンピューター機器メーカー・Cisco傘下のサイバーセキュリティグループであるCisco Talosが、macOS用にリリースされている複数のMicrosoft製アプリにある脆弱性を特定したと報告した。
この脆弱性を悪用することで、攻撃者がユーザーの同意なしでマイクやカメラにアクセスし、許可なく画面を録画したり音声を録音したりできるとのこと。
How multiple vulnerabilities in Microsoft apps for macOS pave the way to stealing permissions
https://blog.talosintelligence.com/how-multiple-vulnerabilities-in-microsoft-apps-for-macos-pave-the-way-to-stealing-permissions/
Cisco Talosの調査の結果、MicrosoftのmacOS向けアプリである「Microsoft Word」「Microsoft Outlook」「Microsoft Excel」「Microsoft OneNote」「Microsoft PowerPoint」「Microsoft Teams関連の3つのアプリ」では、Hardened Runtimeのライブラリ検証が無効になっていることが判明。
これにより、攻撃者が正当なアプリに悪意のあるライブラリを挿入し、TCCに基づいてアプリに許可したアクセス権限を悪用できるとCisco Talosは指摘。
ハッカーが悪用可能な権限は侵害したアプリによって異なりますが、Excelを除くすべてのアプリはマイクにアクセスしてオーディオを録音できるほか、カメラにアクセスできるアプリでは写真や動画を撮影することも可能。
また、Outlookを除くすべてのアプリはApple eventをOutlookに送信し、ユーザーのプロンプトなしで電子メールを送信することもできる様子。
Cisco Talosが報告した8個のアプリのうち、「Microsoft Teams関連の3つのアプリ」と「Microsoft OneNote」はMicrosoftによって問題が修正されましたが、「Microsoft Word」「Microsoft Outlook」「Microsoft Excel」「Microsoft PowerPoint」は依然として脆弱なままとなっているのが現状である。
随分とまぁ、対応が遅い事で。。。
※関連情報
macOS用Excel・Outlook・PowerPoint・Teams・Word・OneNoteなどのMicrosoft製アプリの脆弱性でマイクやカメラに無断でアクセスされる可能性