思科旗下威胁情报团队Talos在macOS版的Microsoft 365办公室套装软件,最近找到8个漏洞,并指出攻击者若是将恶意程序库注入应用程序,就有机会触发这些漏洞,从而取得用户授予应用程序的权限,例如:存取麦克风、视讯镜头、文件夹、屏幕录制、用户输入等资源,一旦攻击者掌握这些权限,就有可能泄露敏感信息,甚至提升权限。
此次漏洞揭露涵盖的Office应用程序,包含Word(CVE-2024-41165)、Excel(CVE-2024-43106)、PowerPoint(CVE-2024-39804)、Outlook(CVE-2024-42220)、OneNote(CVE-2024-41159),以及Teams(CVE-2024-41138、CVE-2024-41145、CVE-2024-42004)。
上述漏洞的CVSS风险评分皆为7.1,研究人员表示,攻击者可利用这些漏洞得到应用程序已取得的权限,从而绕过操作系统的安全防护框架Transparency, Consent, and Control(TCC),过程中完全不需向使用者取得额外的验证,只要成功利用漏洞,就能直接取得用户已授予M365应用程序的所有权限。
这些漏洞若遭到利用,可能产生那些后果?研究人员指出,攻击者可在用户不知情的情况下利用他们的电子邮件帐号寄信、录制声音和视频、拍照,过程中完全无须用户交互。
研究人员将上述发现进行通报,但微软认为这些漏洞的风险并不高,而且有部分应用程序的运作过程里,必须加载未经签署的程序库才能支持插件程序,因此仅对OneNote、Teams进行处理。换言之,其余4个M365应用程序仍曝露相关风险。



2024-08-27
