وجد باتريك واردل (Patrick Wardle)، المخترِق السابق في وكالة الأمن القومي والباحث الأمني المتخصص في (MacOS)، طريقة لاختراق مستخدمي «ماك» الذين يفتحون ملف مايكروسوفت أوفيس (Microsoft Office)، دون الحاجة إلى أي تفاعل آخر.
وأوضح واردل كيف كان قادرًا على إيجاد سلسلة من الثغرات التي تسمح للمتسللين بالسيطرة على جهاز ماكنتوش عن طريق إقناع الهدف بفتح ملف مايكروسوفت أوفيس محمل بوحدات الماكرو الضارة.
وتتمتّع أجهزة حواسيب ماكنتوش منذ فترة طويلة بسمعة ممتازة من منظور الأمان، وخصوصية البيانات بالمقارنة مع حواسيب ويندوز.
لكن هذه الفكرة تغيرت على مدار السنوات القليلة الماضية بفضل المتسللين، الذين يوجهون أنظارهم نحو نظام تشغيل حواسيب آبل، وذلك في ظل تزايد عدد الأشخاص الذين يختارون أجهزة ماكنتوش.
وتُعد مسألة صنع ملفات أوفيس باستخدام وحدات الماكرو الضارة بمثابة خدعة قديمة بالنسبة للمتسللين المهتمين بأهداف ويندوز.
ويعرض واردل الآن كيف يمكن استغلال وحدات الماكرو ــ وهي برامج صغيرة مضمنة في المستندات ــ في نظام (MacOS) أيضًا.
ونشر الباحث الأمني تدوينة توضح النتائج التي توصّل إليها خلال مؤتمر بلاك هات الأمني (Black Hat)، الذي يُعقد عبر الإنترنت هذا العام بسبب جائحة فيروس كورونا.
وكانت طريقة واردل للاختراق ممكنة بفضل سلسلة من الأحداث والأخطاء التي وجدها وربطها معًا.
وأدرك واردل أنه يمكنه صنع ملف أوفيس بتنسيق الملف القديم (slk.)، الذي من شأنه مطالبة أوفيس بتشغيل وحدات الماكرو تلقائيًا على نظام (MacOS) دون تنبيه المستخدم، وهي تقنية اكتشفها باحثان أمنيان آخران في 2018.
وقال واردل: يحب باحثو الأمن تنسيقات الملفات القديمة هذه؛ لأنها مصنعة في وقت لم يكن فيه أحد يفكر في الأمن.
واستغل الباحث الأمني بعد ذلك الخلل الذي اكتشفه باحث آخر، والذي يسمح للمتسلل بالهروب من وضع الحماية لمايكروسوفت أوفيس من خلال صناعة ملف يبدأ بعلامة الدولار «$».
وكان الجزء الأخير من الطريقة يتعلق بأن نظام (MacOS) لن يتحقق من الملف إذا كان بتنسيق (zip.) في ظل إجراءات الحماية الجديدة الخاصة بالتوثيق.
يذكر أنّه يتعين على الضحية تسجيل الدخول إلى جهاز ماكنتوش في مناسبتين منفصلتين لكي ينجح هذا الاستغلال، حيث تؤدي كل عملية تسجيل دخول إلى خطوة مختلفة في السلسلة.
وقال متحدّث باسم مايكروسوفت: إنّ الشركة حققت وتوصلت إلى أن أي تطبيق، حتى عندما يكون في وضع الحماية، معرض لسوء استخدام واجهات برمجة التطبيقات هذه، ونجري مناقشة منتظمة مع آبل لتحديد حلول لهذه المشكلات وتقديم الدعم حسب الحاجة.
وتمّ الآن إصلاح العيوب التي استفيدت من واردل في أحدث إصدار من أوفيس على نظام التشغيل (MacOS 10.15.3)، وقال واردل: إنّ شركة «آبل» لم تستجب عندما أبلغ عن العيوب التي تسمح باختراق مستخدمي «ماك».