3min Security

MS Office-apps voor MacOS maken omzeilen permissies mogelijk

Code injection of zelfs escalation of privileges ligt op de loer

MS Office-apps voor MacOS maken omzeilen permissies mogelijk

Enkele van de meestgebruikte Microsoft Office-apps voor MacOS bevatten een kwetsbaarheid waarmee kwaadwillenden zonder aanvullende verificatie bestaande permissies kunnen omzeilen en misbruiken. Daarmee zouden ze in theorie ongeoorloofd e-mails kunnen verzenden, foto’s nemen en audio of video-opnames maken.

Het gaat om de apps Word, Excel, Powerpoint, Outlook, OneNote, Teams en twee Teams-componenten. De kwetsbaarheden kwamen aan het licht na onderzoek van Cisco Talos en betreffen het omzeilen van het door Apple veelvuldig gebruikte permissiemodel Transparency, Consent and Control (TCC) vanwege vrijstellingen die Microsoft daarin zelf standaard heeft aangebracht om het laden van third-party plugins te vergemakkelijken. Dat maakt onder andere ‘code injection’ mogelijk.

De customer-facing permissie-instellingen van Apple zijn doorgaans strenger dan het standaard Discretionary Access Control (DAC)-principe dat in vergelijkbare gevallen voor Windows wordt gehanteerd (Windows gebruikt ook TTC, maar deze zijn voor eindgebruikers doorgaans minder zichtbaar). Gebruikers merken dit wanneer ze bijvoorbeeld specifieke toestemming moeten geven voor het gebruik van camera of microfoon.

Deels overlappende beveiliging

In MacOS zijn deze permissies te wijzigingen via de ‘Privacy & Security’-sectie van het instellingsmenu. Naast dit zogenoemde sandboxen van apps gebruikt Apple ook Hardened Runtime, wat apps minder gevoelig moet maken voor exploitatie. Daarmee zijn apps op MacOS soms ‘dubbel’ beveiligd via deze deels overlappende systemen.

Hoe dan ook, Microsoft heeft voor de genoemde Office-apps dergelijke permissies standaard ingeschakeld door de com.apple.security.cs.disable-library-validation entitlement op ’true’ te zetten. Daardoor is het mogelijk om, alle security-maatregelen ten spijt, zonder expliciet aanvullende toestemming frameworks, libraries of plug-ins te laden. Het is precies deze ‘soepele’ omgang met het permissiemodel dat de code injection mogelijk maakt.

In het slechtste geval leidt dit openstaande deurkiertje tot het lekken van gevoelige data of het escaleren van privileges, aldus de onderzoekers.

Gebruikersgemak boven security

Microsoft heeft de kwetsbaarheden in enkele gevallen gepatched, namelijk voor OneNote en Teams en diens componenten die toch al geen plug-ins gebruiken. De overige apps blijven ongepatcht, Microsoft heeft ook aangegeven dat dat zo blijft, omdat het om een ‘low risk’-kwetsbaarheid zou gaan. Het bedrijf stelt in dit geval gebruikersgemak dus boven security.

Volgens Cisco Talos zou het uitzetten van de zogenoemde library validation niet eens nodig zijn, omdat de enige plugins die de Office-apps gebruiken web-based zijn. Volgens de onderzoekers zou Microsoft het achterdeurtje daarom prima gesloten kunnen laten. In de huidige situatie stelt Microsoft gebruikers dus bloot aan ‘onnodige risico’s’.

De kwetsbaarheden betreffen:

CVENaam van app
CVE-2024-42220Microsoft Outlook
CVE-2024-42004Microsoft Teams (work or school) (gepatched)
CVE-2024-39804Microsoft PowerPoint
CVE-2024-41159Microsoft OneNote (gepatched)
CVE-2024-43106Microsoft Excel
CVE-2024-41165Microsoft Word
CVE-2024-41145Microsoft Teams (work or school) WebView.app helper app (gepatched)
CVE-2024-41138Microsoft Teams (work or school) com.microsoft.teams2.modulehost.app (gepatched)

Lees ook: Duizenden iOS- en macOS apps tien jaar lang kwetsbaar voor hackaanvallen