SYLK文件中的XML宏可绕过Mac版Office的安全限制

近期，有安全组织表示，嵌入到SYLK文件（微软的符号链接文件，和excel有关）中的xml宏可以绕过Office的安全限制，攻击Mac电脑。

所有正使用Microsoft Office的Mac用户都面临被攻击的风险。这种恶意的SYLK文件不受disable all macros without notification的限制，打开即可触发，最终在受害者的电脑上执行任意代码。

这一警告来自美国的计算机应急团队（US-CERT），他们表示，符号链接（SYLK）文件可能包含危险的xml宏。

根据CERT的报告，xml宏在SYLK文件中的展示有很大的问题，因为Microsoft Office不会在受保护的视图中打开文件，无法保护用户。

受保护视图（见下图）是一种只读模式，该情景下编辑功能被禁用，这也能阻止恶意宏的执行。但SYLK文件不受此约束，这造成只需一次单击，受害者的机器便会执行恶意代码。

具有讽刺意味的是，只有当用户小心谨慎地将他们的Office 2016和2019配置为禁用所有宏而无需通知时，这个漏洞才会存在。当这个配置启用时，SYLK文件中的xml宏将在无任何提示的情况下执行。

目前这个漏洞已经在Mac版本的Office 2011、2016、2019上得到了确认。

根据万维网联盟的定义，xml是一种标记语言，它定义了一组规则，使得人类和机器都可对文档进行编写和读取。而SYLK是一种可以追溯到20世纪80年代的古老文件格式，现在仍然被Microsoft Office所支持。可能是由于年代过于久远，缺乏安全考虑，这两者的结合可以构造出危害巨大的恶意文档。

Outflank的研究人员在发布的一份报告中写道：“事实证明，这种SYLK格式的文件很容易成为恶意代码的温床，让攻击者在目标机器上得到一个立足点。

研究人员还指出，SYLK文件不仅可以利用Mac版的Office软件，还不包括在默认的MS Outlook危险文件类型中。而在Chrome的安全文件类型列表中，SYLK也并没有被标记为“危险”。

Outflank表示，减少这类攻击的最佳方法是完全拦截MS Office中的SYLK文件，这可以通过MS Office信任中心设置中的File Block设置来完成。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://threatpost.com/office-for-mac-malicious-sylk-files/149823/