De acordo com um relatório, uma falha de segurança descoberta em aplicativos da Microsoft permite que hackers monitorem seu Mac. Esses aplicativos podem ser explorados para capturar vídeo e áudio do seu dispositivo, obter informações confidenciais e ganhar privilégios elevados.
De acordo com o Cisco Talos , um grupo de segurança cibernética, uma vulnerabilidade significativa foi descoberta nos aplicativos macOS da Microsoft, incluindo Outlook, Word, Teams, OneNote e Excel. Essa falha permite que invasores insiram bibliotecas prejudiciais nos aplicativos, concedendo a eles acesso às permissões dos aplicativos e direitos concedidos pelo usuário.
O framework macOS opera em um sistema baseado em permissão e utiliza o framework de transparência, consentimento e controle (TCC). Isso requer que o macOS peça sua permissão antes de executar novos apps e apresente prompts sempre que apps precisarem acessar informações confidenciais, como contatos, fotos, webcams, etc.
Antes de solicitar essas permissões, os aplicativos devem obter direitos conforme definidos pela Apple.
Os direitos dos aplicativos da Microsoft incluem uma falha de segurança que permite que hackers ignorem solicitações de permissão e obtenham acesso aos seus dados confidenciais.
De acordo com pesquisadores da Cisco Talos, um total de oito vulnerabilidades foram descobertas em vários aplicativos da Microsoft projetados para macOS. Essas vulnerabilidades podem potencialmente permitir que um invasor ignore o modelo de permissão do sistema operacional explorando permissões de aplicativos existentes, sem exigir nenhuma verificação adicional do usuário.
Embora o Cisco Talos não tenha divulgado um exploit funcional para o potencial abuso desse problema em ataques no mundo real, eles também não confirmaram nenhuma instância de hackers utilizando-o para obter acesso a informações confidenciais do usuário.
A Microsoft fez atualizações na maneira como os aplicativos Teams e OneNote lidam com o direito de validação de biblioteca no macOS. No entanto, o exploit ainda continua sendo uma ameaça potencial para Excel, PowerPoint, Word e Outlook.
A empresa sediada em Redmond não considera isso uma ameaça significativa o suficiente para justificar uma correção.
De acordo com o grupo Cybersecurity, a Microsoft considerou esses problemas como de baixo risco. Eles também declararam que alguns de seus aplicativos exigem a capacidade de carregar bibliotecas não assinadas para dar suporte a plugins e, como resultado, eles escolheram não abordar os problemas.
Deixe um comentário