Wesley Akkerman
Wesley Akkerman | LinkedIn Digital 6 augustus 2020

Beveiligingslek Microsoft Office: via deze weg was macOS over te nemen

Voormalig NSA-werknemer Patrick Wardle heeft een lek in Microsoft Office voor macOS gevonden, die tot ernstige consequenties kan leiden. De kwaadwillende kan namelijk via het programma van Microsoft de complete Mac overnemen. Je hebt hier alleen een simpel Office-document met malafide code voor nodig.

Dat blijkt uit berichtgeving van Vice. Het lek is gebaseerd op een macrofunctie, waarmee gebruikers processen kunnen automatiseren in Microsoft Office. Dat gaat via zelfgemaakte commando’s en instructies. Dergelijke aanvallen komen vaak voor op Windows, maar Wardle laat nu zien dat dit dus ook goed mogelijk is op het computersysteem van Apple. Hoewel de hack input nodig heeft vanuit de gebruiker, bestaat toch de kans dat mensen op deze manier aangevallen kunnen worden. Dat kan gebeuren op het moment dat ze niet helemaal begrijpen wat er nou precies van hen verlangd wordt.

Mac overnemen via Microsoft Office

De hacker maakt hiervoor gebruik van verschillende bugs en breaches van Microsoft Office. Hij maakte een SLK-bestand dat het beveiligingssysteem van macOS omzeilt. Omdat dit formaat door Office gebruikt wordt, vraagt macOS niet eerst of je het bestand wil openen. Zelfs niet wanneer het bestand gedownload werd vanuit een onbekende bron. Beveiligingsonderzoekers houden van dergelijke bestanden die al heel oud zijn, omdat ze stammen uit een tijd waarin er minder serieus naar digitale veiligheid gekeken werd.

!excel from patrick wardle on Vimeo.

Door de bestandsnaam met het $-teken te laten beginnen, kan een malafide code de Microsoft Office-sandbox breken en andere delen van het besturingssysteem overnemen. In de bovenstaande video zie je hoe Wardle dit doet met bijvoorbeeld Microsoft Excel. Er zit nog wel een extra veiligheidslaag in Office gebouwd, aangezien Microsoft van tevoren vraagt of je zeker weet dat je de macrofunctie activeert. Het is dus geen onbewuste handeling.

Echter, we weten allemaal dat sommige gebruikers pop-ups of waarschuwingsvenster snel weg klikken wanneer ze ergens mee bezig zijn. Daardoor lopen ze toch gevaar wanneer dit soort lekken actief zijn. Wardle zegt hierover dat “mensen ongeduldig zijn, exploits zijn dat niet”. Zodoende schat hij in dat er toch enkele computers overgenomen zijn door dit lek.

Gelukkig is het zo dat er inmiddels een patch beschikbaar is die het probleem verhelpt. Desondanks lopen er alsnog mensen gevaar wanneer ze vaak veel te laat hun software updaten.

Reageer op artikel:
Beveiligingslek Microsoft Office: via deze weg was macOS over te nemen
Sluiten