近期，有安全組織表示，嵌入到SYLK文件（微軟的符號(hào)鏈接文件，和excel有關(guān)）中的xml宏可以繞過Office的安全限制，攻擊Mac電腦。

所有正使用Microsoft Office的Mac用戶都面臨被攻擊的風(fēng)險(xiǎn)。這種惡意的SYLK文件不受disable all macros without notification的限制，打開即可觸發(fā)，最終在受害者的電腦上執(zhí)行任意代碼。

這一警告來自美國(guó)的計(jì)算機(jī)應(yīng)急團(tuán)隊(duì)（US-CERT），他們表示，符號(hào)鏈接（SYLK）文件可能包含危險(xiǎn)的xml宏。

根據(jù)CERT的報(bào)告，xml宏在SYLK文件中的展示有很大的問題，因?yàn)镸icrosoft Office不會(huì)在受保護(hù)的視圖中打開文件，無法保護(hù)用戶。

受保護(hù)視圖（見下圖）是一種只讀模式，該情景下編輯功能被禁用，這也能阻止惡意宏的執(zhí)行。但SYLK文件不受此約束，這造成只需一次單擊，受害者的機(jī)器便會(huì)執(zhí)行惡意代碼。

具有諷刺意味的是，只有當(dāng)用戶小心謹(jǐn)慎地將他們的Office 2016和2019配置為禁用所有宏而無需通知時(shí)，這個(gè)漏洞才會(huì)存在。當(dāng)這個(gè)配置啟用時(shí)，SYLK文件中的xml宏將在無任何提示的情況下執(zhí)行。

目前這個(gè)漏洞已經(jīng)在Mac版本的Office 2011、2016、2019上得到了確認(rèn)。

根據(jù)萬維網(wǎng)聯(lián)盟的定義，xml是一種標(biāo)記語言，它定義了一組規(guī)則，使得人類和機(jī)器都可對(duì)文檔進(jìn)行編寫和讀取。而SYLK是一種可以追溯到20世紀(jì)80年代的古老文件格式，現(xiàn)在仍然被Microsoft Office所支持。可能是由于年代過于久遠(yuǎn)，缺乏安全考慮，這兩者的結(jié)合可以構(gòu)造出危害巨大的惡意文檔。

Outflank的研究人員在發(fā)布的一份報(bào)告中寫道：“事實(shí)證明，這種SYLK格式的文件很容易成為惡意代碼的溫床，讓攻擊者在目標(biāo)機(jī)器上得到一個(gè)立足點(diǎn)。

研究人員還指出，SYLK文件不僅可以利用Mac版的Office軟件，還不包括在默認(rèn)的MS Outlook危險(xiǎn)文件類型中。而在Chrome的安全文件類型列表中，SYLK也并沒有被標(biāo)記為“危險(xiǎn)”。

Outflank表示，減少這類攻擊的最佳方法是完全攔截MS Office中的SYLK文件，這可以通過MS Office信任中心設(shè)置中的File Block設(shè)置來完成。

本文由白帽匯整理并翻譯，不代表白帽匯任何觀點(diǎn)和立場(chǎng)：https://nosec.org/home/detail/3126.html 來源：https://threatpost.com/office-for-mac-malicious-sylk-files/149823/

總結(jié)

以上是生活随笔為你收集整理的SYLK文件中的XML宏可绕过Mac版Office的安全限制的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。