El equipo de Cisco Talos ha identificado ocho vulnerabilidades presentes en aplicaciones de Microsoft para el sistema operativo MacOS, como Outlook y Teams, que abren la puerta a los permisos otorgados a las aplicaciones y a su uso sin que el usuario se dé cuenta.
El modelo de seguridad de MacOS se basa en permisos bajo el marco de la tecnología de Transparencia, Consentimiento y Control (TCC), que ayuda a los usuarios a configurar los permisos que se conceden a las aplicaciones para que puedan, por ejemplo, acceder a la cámara o al calendario.
TCC regula la manera en que las aplicaciones pueden acceder a datos confidenciales de los usuarios y otros recursos del sistema, ya que exige que el usuario dé su consentimiento explícito.
La seguridad de MacOS, además, se basa en el control de acceso discrecional (DAC), que protege frente a 'malware' que se ejecuta con privilegios de usuario. E incluye medidas para protegerse contra la inyección de código.
Este modelo, aunque sólido, «no es infalible», como apuntan los investigadores de Cisco Talos en su blog oficial, ya que «la eficacia de TCC depende de que las aplicaciones gestionen de forma responsable los permisos que reciben», apuntan con motivo de una investigación en la que han detectado ocho vulnerabilidades en distintas aplicaciones de Microsoft para este sistema operativo.
En concreto, se han encontrado en Outlook, Teams (trabajo o escuela), Power Point, OneNote, Excel, Word, la aplicación auxiliar WebView.app de Microsoft Teams y Microsoft Teams (trabajo o escuela) com.microsoft.teams2.modulehost.app.
Si un atacante explotara las vulnerabilidades, «podría eludir el modelo de permisos del sistema operativo utilizando los permisos de las aplicaciones existentes sin solicitar al usuario ninguna verificación adicional».
Como explican desde Talos, su explotación depende de la capacidad de inyectar una biblioteca - insertar código en el proceso en ejecución de una aplicación- y explotar los permisos o derechos de otras aplicaciones, algo que Apple combate con con características como el tiempo de ejecución reforzado.
Microsoft, por su parte, utiliza la validación de bibliotecas de Apple para que ciertas aplicaciones admitan algún tipo de complementos. Sin embargo, y en base a la investigación realizada, los expertos de Talos consideran que «al utilizar este derecho, Microsoft está eludiendo las salvaguardas que ofrece el entorno de ejecución reforzado, lo que podría exponer a sus usuarios a riesgos innecesarios».
Según recoge la firma de ciberseguridad, Microsoft no va a solucionar estas vulnerabilidades al entender que son de «riesgo bajo» y que «algunas de sus aplicaciones necesitan permitir la carga de bibliotecas no firmadas para admitir complementos».