思科Talos披露微软macOS应用程序中存在8个漏洞，这些漏洞利用了TCC框架的弱点。黑客可以绕过安全措施、注入恶意软件并访问数据。更新对于保护至关重要。

思科Talos在微软的macOS应用程序中发现了8个漏洞，凸显了该平台基于权限的安全模型——透明度、同意和控制(TCC)框架的漏洞。

TCC是一种安全策略，它要求应用程序在访问用户数据和系统资源之前获得用户的明确同意，从而保护用户数据和系统资源。然而，研究人员发现，他们可以利用Microsoft应用程序中的漏洞绕过TCC，并在未经用户同意的情况下访问敏感的用户数据和资源。

该研究于2024年8月19日发布，重点关注库利用其他应用程序的权限或授权的漏洞，也称为库注入或Dylib劫持。MacOS使用强化运行时等功能来应对这种威胁，从而降低了攻击者通过另一个应用程序的进程执行任意代码的可能性。

然而，如果攻击者设法将库注入正在运行的应用程序的进程空间，则该库可以使用已授予该进程的所有权限，从而有效地代表应用程序本身进行操作。

之所以发生这种情况，是因为某些应用程序（例如Microsoft Teams）具有某些禁用关键安全功能的权限。例如，Teams 具有com.apple.security.cs.disable-library-validation权限，允许应用程序加载第三方库而无需执行签名验证。这为攻击者创造了机会，因为他们可以利用这些漏洞注入可以继承受信任应用程序权限的恶意库。

此次攻击涉及黑客利用macOS系统中的漏洞来获取未经授权的访问权限。他们瞄准已知漏洞，例如Microsoft Teams中禁用的库验证。一旦发现漏洞，他们就会通过诱骗用户打开恶意附件或点击受感染的链接来利用该漏洞。他们将恶意库注入应用程序的进程，绕过安全措施并窃取权限。

这些库随后可以提升攻击者的权限，使他们能够访问敏感数据和系统资源。在某些情况下，它们还可能实施持久性机制，以确保即使在系统重启后也能继续访问。

这些漏洞可让攻击者在无需用户交互的情况下发送电子邮件、录制音频片段、拍照或录制视频。微软认为这些问题的风险较低，但研究人员报告的四个应用程序已更新，不再容易受到所述情况的影响。

以下是Talos发现的漏洞列表及其Talos ID和相关CVE：
塔洛斯ID 漏洞漏洞 应用程序名称
TALOS-2024-1972 CVE-2024-42220 微软 Outlook
TALOS-2024-1973 CVE-2024-42004 Microsoft Teams（工作或学校）
TALOS-2024-1974 CVE-2024-39804 微软 PowerPoint
TALOS-2024-1975 CVE-2024-41159 微软 OneNote
TALOS-2024-1976 CVE-2024-43106 微软 Excel
TALOS-2024-1977 CVE-2024-41165 微软 Word
TALOS-2024-1990 CVE-2024-41145 Microsoft Teams（工作或学校）WebView.app 辅助应用
TALOS-2024-1991 CVE-2024-41138 Microsoft Teams（工作或学校）com.microsoft.teams2.modulehost.app

定期的软件更新、谨慎使用不熟悉的链接和附件、信誉良好的安全解决方案以及安全的浏览习惯可以显著降低利用macOS的Microsoft应用程序中的漏洞进行恶意软件攻击的风险。