Varias aplicaciones de Microsoft diseñadas específicamente para el sistema operativo macOS de Apple corren el riesgo de ser subvertidas por actores maliciosos, según una investigación publicada por Cisco Talos. El investigador de Talos, Francesco Benvenuto, encontró ocho vulnerabilidades en propiedades de Microsoft ampliamente utilizadas, incluidas Excel, OneNote, Outlook, PowerPoint, Teams y Word. Si se explotan, las fallas permitirían a un actor de amenazas aprovechar la configuración de permisos de Apple para inyectar bibliotecas maliciosas en las aplicaciones vulnerables y obtener el control de sus derechos y permisos de usuario. «Los permisos regulan si una aplicación puede acceder a recursos como el micrófono, la cámara, las carpetas, la grabación de pantalla, la entrada del usuario y más. Entonces, si un adversario obtuviera acceso a estos, potencialmente podría filtrar información confidencial o, en el peor de los casos, escalar privilegios «, escribió Benvenuto. Cómo funciona El alcance del problema depende de cómo macOS maneja los permisos de aplicaciones de terceros. Por lo general, los sistemas operativos basan estas políticas en los principios del control de acceso discrecional (DAC), pero esto proporciona una protección muy limitada contra software vulnerable o malware que se ejecuta con privilegios de usuario o raíz. Por ello, Apple va más allá y protege el acceso a algunos recursos mediante un mecanismo denominado Transparencia, Consentimiento y Control (TCC), que exige que las aplicaciones obtengan el consentimiento humano explícito antes de acceder a elementos protegidos, como el micrófono, la cámara, etc. Este mecanismo de consentimiento se muestra al usuario en forma de una ventana emergente, algo que resultará familiar a la mayoría de los propietarios de Mac. Esa decisión se registra para futuras referencias y se puede cambiar a través de la configuración de Privacidad y Seguridad del dispositivo en el futuro si se desea. Ahora, macOS también incluye disposiciones para detener la inyección de código al exigir que las aplicaciones distribuidas a través de la App Store se sometan a un sandbox, que restringe el acceso a los recursos que la aplicación solicita explícitamente a través de derechos, algunos de los cuales se rigen además por el permiso emergente del usuario. Como ejemplo, explicó Benvenuto, una aplicación correctamente protegida solicitará acceso a la cámara solo si tiene el permiso de cámara establecido en «verdadero». Si ese permiso no está presente, no se permitirá y el usuario nunca verá una ventana emergente. Las aplicaciones notariadas (aquellas que han sido revisadas por los escáneres de Apple en busca de componentes dudosos) también deben habilitar un tiempo de ejecución reforzado para hacerlas más resistentes a la inyección de código. Estas aplicaciones, que incluyen todas las de Microsoft en el alcance de la investigación, que pueden necesitar realizar acciones de mayor riesgo, como cargar una biblioteca que no es de confianza, deben declarar esa intención a través de sus derechos. En este caso, sus desarrolladores deben establecer el derecho de deshabilitar la validación de la biblioteca en «verdadero». En conjunto, se supone que estas características funcionan juntas para brindar una protección mejorada para los usuarios de Mac. Sin embargo, si un atacante puede inyectar una biblioteca de código malicioso en el espacio de proceso de una aplicación en ejecución, dicha biblioteca puede usar todos los permisos que se le han otorgado. Entonces, como lo demuestra la investigación, las aplicaciones de Microsoft en el alcance se vuelven vulnerables si cargan una biblioteca que un actor de amenazas comprometió. Manejo responsable Benvenuto dijo que para ser verdaderamente efectivo y seguro, el modelo de Apple depende de que las aplicaciones manejen sus permisos de manera responsable. «MacOS confía en que las aplicaciones vigilen por sí mismas sus permisos. Un fallo en esta responsabilidad lleva a una violación de todo el modelo de permisos, con aplicaciones actuando inadvertidamente como proxy para acciones no autorizadas, eludiendo TCC y comprometiendo el modelo de seguridad del sistema. Esto resalta la importancia de que las aplicaciones implementen medidas de seguridad sólidas para evitar convertirse en vectores de explotación”. Benvenuto continuó afirmando que las aplicaciones de Microsoft parecen estar usando el derecho de validación de biblioteca para admitir complementos, lo que debería significar complementos firmados por desarrolladores externos pero, en este caso, realmente parece referirse solo a los complementos de Office de Microsoft. Dijo que esto planteó más preguntas sobre por qué Microsoft necesitaba deshabilitar la validación de biblioteca si no se espera que aparezcan bibliotecas externas. “Al usar este derecho, Microsoft está eludiendo las salvaguardas que ofrece el tiempo de ejecución reforzado, exponiendo potencialmente a sus usuarios a riesgos innecesarios”, escribió. Ocho vulnerabilidades Los problemas descritos por el equipo de Cisco Talos han recibido las siguientes designaciones: CVE-2024-39804 en Microsoft PowerPoint; CVE-2024-41138 en Microsoft Teams (trabajo o escuela) com.microsoft.teams2.modulehost.app; CVE-2024-41145 en la aplicación auxiliar WebView.app de Microsoft Teams (trabajo o escuela); CVE-2024-41159 en Microsoft OneNote; CVE-2024-41165 en Microsoft Word; CVE-2024-42004 en Microsoft Teams (trabajo o escuela); CVE-2024-42220 en Microsoft Outlook; y CVE-2024-43106 en Microsoft Excel. Según Benvenuto, Microsoft ha dicho que considera que estos problemas son de bajo riesgo y supuestamente se ha negado a solucionar algunos de ellos porque las aplicaciones necesitan permitir la carga de bibliotecas no firmadas para admitir los complementos de Office. Al momento de escribir este artículo, tanto Teams como OneNote han perdido el derecho problemático y ya no son vulnerables a la explotación. Los demás siguen en riesgo.