Penjahat siber makin marak bertebaran dan memanfaatkan kelemahan atau kerentanan pada perangkat teknologi. Terbaru, Cisco Talos mengatakan ada 8 celah kelemahan yang ditemukan pada aplikasi Microsoft di perangkat Apple berbasis macOS.
Kelemahan itu bisa dimanfaatkan para penipu untuk merekam video dan suara dari perangkat pengguna, mengakses data sensitif, dan sebagainya.
Adapun kelemahan yang terdeteksi ada di Word, Excel, OneNote, Outlook, PowerPoint, dan Teams, dikutip dari The Register, Rabu (21/8/2024).
“Microsoft mengatakan masalah ini berisiko kecil. Mereka berdalih beberapa aplikasinya perlu mengizinkan pemuatan file yang tidak terotoritasi untuk mendukung plugin. Mereka juga menolak untuk memperbaiki masalah tersebut,” kata Francesco Benvenuto, Senior Security Research Engineer di Talos.
Model keamanan Apple berbasis izin dan bergantung pada kerangka transparansi, persetujuan, dan kontrol (TCC). Bagi pengguna yang akrab dengan macOS, sistem ini yang bertanggung jawab meminta izin pengguna untuk menjalankan aplikasi baru, dan menampilkan perintah ketika aplikasi tersebut ingin mengakses penyimpanan sensitif seperti kontak, foto, kamera web, dll.
Masalahnya, jika sistem Microsoft memberikan izin akses file ke perangkat pengguna, maka penjahat siber tak perlu repot-repot mengelabui target untuk menjalankan program berbahaya.
Mereka bisa langsung mengeksploitasi Word, misalnya dengan menanam malware untuk mengakses file-file yang dilindungi di dalam perangkat.
Tim Talos menekankan bahwa satu-satunya plugin yang tersedia untuk aplikasi macOS Microsoft adalah add-in Office. Artinya, tidak ada alasan yang jelas untuk menjalankan plugin dari pihak ketiga.
Peneliti tidak memberikan penjelasan lebih jauh tentang bagaimana masalah ini dapat disalahgunakan dalam serangan nyata.
Investigasi ini lebih berfungsi sebagai pengingat tentang cara vendor perangkat lunak mengirimkan aplikasi ke macOS yang mungkin tidak seaman yang diyakini pengguna.
Meskipun Microsoft menetapkan kerentanan ini sebagai status berisiko rendah dan menolak untuk menambalnya, Microsoft telah memperbarui aplikasi Teams dan OneNote, menghapus hak yang memungkinkan injeksi file, yang pada dasarnya mengurangi bug.