SYLK文件中的XML宏可绕过Mac版Office的安全限制 – 作者:白帽汇

22.jpg

近期,有安全组织表示,嵌入到SYLK文件(微软的符号链接文件,和excel有关)中的xml宏可以绕过Office的安全限制,攻击Mac电脑。

所有正使用Microsoft Office的Mac用户都面临被攻击的风险。这种恶意的SYLK文件不受disable all macros without notification的限制,打开即可触发,最终在受害者的电脑上执行任意代码。

这一警告来自美国的计算机应急团队(US-CERT),他们表示,符号链接(SYLK)文件可能包含危险的xml宏。

根据CERT的报告,xml宏在SYLK文件中的展示有很大的问题,因为Microsoft Office不会在受保护的视图中打开文件,无法保护用户。

受保护视图(见下图)是一种只读模式,该情景下编辑功能被禁用,这也能阻止恶意宏的执行。但SYLK文件不受此约束,这造成只需一次单击,受害者的机器便会执行恶意代码。

33.png

具有讽刺意味的是,只有当用户小心谨慎地将他们的Office 2016和2019配置为禁用所有宏而无需通知时,这个漏洞才会存在。当这个配置启用时,SYLK文件中的xml宏将在无任何提示的情况下执行。

目前这个漏洞已经在Mac版本的Office 2011、2016、2019上得到了确认。

根据万维网联盟的定义,xml是一种标记语言,它定义了一组规则,使得人类和机器都可对文档进行编写和读取。而SYLK是一种可以追溯到20世纪80年代的古老文件格式,现在仍然被Microsoft Office所支持。可能是由于年代过于久远,缺乏安全考虑,这两者的结合可以构造出危害巨大的恶意文档。

Outflank的研究人员在发布的一份报告中写道:“事实证明,这种SYLK格式的文件很容易成为恶意代码的温床,让攻击者在目标机器上得到一个立足点。

研究人员还指出,SYLK文件不仅可以利用Mac版的Office软件,还不包括在默认的MS Outlook危险文件类型中。而在Chrome的安全文件类型列表中,SYLK也并没有被标记为“危险”。

Outflank表示,减少这类攻击的最佳方法是完全拦截MS Office中的SYLK文件,这可以通过MS Office信任中心设置中的File Block设置来完成。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场:https://nosec.org/home/detail/3126.html
来源:https://threatpost.com/office-for-mac-malicious-sylk-files/149823/

来源:freebuf.com 2019-11-04 17:04:13 by: 白帽汇

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论