Cisco Talos は最近、macOS 向けの複数の Microsoft アプリにセキュリティ上の脆弱性を発見しました。この脆弱性により、攻撃者がカメラやその他のシステム コンポーネントをスパイできる可能性があります。
Talosは、Word、Outlook、Excel、OneNote、Teamsを含むmacOS向けMicrosoftアプリに8つの脆弱性を発見したと主張しています。これらの脆弱性により、攻撃者はアプリに悪意のあるコードを挿入し、ユーザーが付与した権限や権限を悪用することが可能になります。
例えば、攻撃者はマイクやカメラにアクセスし、音声や動画を録画し、ユーザーに知られることなく機密情報を盗む可能性があります。ライブラリインジェクション技術は、正当なプロセスに悪意のあるコードを挿入することで、攻撃者が侵害されたアプリとして動作することを可能にします。
潜在的な影響
脆弱性の影響は、アプリケーションとその権限によって異なります。例えば、ビジネスコミュニケーションに広く使用されているMicrosoft Teamsは、会話の録音や機密データへのアクセスに悪用される可能性があります。
同様に、Microsoft Outlook は不正な電子メールを送信し、データ漏洩につながる可能性があります。
Cisco Talosによると、これらのアプリケーションはcom.apple.security.cs.disable-library-validationという権限を使用しているとのことです。これによりセキュリティ機能が無効化され、署名されていないライブラリや信頼されていないライブラリの読み込みが阻止され、アプリケーションがライブラリインジェクション攻撃に対して脆弱になります。
MicrosoftはCisco Talosによって発見された脆弱性を認識していますが、リスクは低いと考えています。Microsoft Teams、OneNote、Teamsヘルパーアプリなどの一部のアプリは、この権限を削除するように修正されており、脆弱性は軽減されています。
より権限の高いアプリを開いて悪意のあるライブラリを挿入することで、悪意のある人物は悪用されたアプリの機能を獲得します。
しかし、Microsoft Word、Excel、Outlook、PowerPoint などの他のアプリは依然としてこの権限を使用しているため、攻撃を受けやすくなっています。Microsoft は、同社のアプリが「プラグインをサポートするために署名されていないライブラリの読み込みを許可する必要がある」ため、「問題の修正を拒否した」と報じられています。
macOSのセキュリティモデルを理解する
AppleのmacOSは、ユーザーを不正アクセスやデータ侵害から保護するための階層化されたセキュリティモデルを採用しています。このモデルの中核を成すのは、透明性、同意、そして制御(TCC)フレームワークであり、アプリケーションがマイク、カメラ、位置情報サービスなどの機密データにアクセスする方法を規定しています。
さらに、macOS は任意アクセス制御 (DAC) ポリシーを採用しており、ユーザーの権限に基づいて特定のリソースへのアクセスを制限することで重要な保護を提供します。
しかし、これらのセキュリティ対策を講じても、アプリに過剰な権限が付与されたり、セキュリティポリシーが回避されたりすると、依然として脆弱性が発生する可能性があります。Cisco Talosが分析したMicrosoftアプリの場合、これらの脆弱性を悪用されると、ユーザーの同意なしに音声や動画を録画するなど、機密性の高いユーザーデータへの不正アクセスにつながる可能性があります。
ユーザーにとって最善の防御策は、常に警戒を怠らず、アプリを定期的に最新バージョンにアップデートすることです。これには重要なセキュリティパッチが含まれる場合が多いです。これらの調査結果は、開発者に対し、セキュリティのベストプラクティスを遵守し、ユーザーデータを危険にさらす可能性のある不要なリスクを回避することの重要性を改めて認識させるものです。
また、2021年には、Cisco TalosがSlackやDiscordなどのコラボレーションアプリがマルウェアの配信や制御に使用されていると報告した。
