Apple har rettet en sårbarhed, som angribere kunne udnytte til at implementere malware på sårbare macOS-enheder via upålidelige applikationer, der er i stand til at omgå Gatekeeper-applikationsudførelsesbegrænsninger. Det er derfor man aldrig må downloade APPS uden om appstore, men mange tvinger og instruere en til at fortsætte med at downloade og forbigå MACOS sikkerhedsprocedure.
Fundet blev rapporteret af Microsofts vigtigste sikkerhedsforsker Jonathan Bar Or, sikkerhedsfejlen (kaldet Achilles) spores nu som CVE-2022-42821.
Apple adresserede fejlen i macOS 13 (Ventura), macOS 12.6.2 (Monterey) og macOS 1.7.2 (Big Sur) for en uge siden, den 13. december.
Gatekeeper bypass via restriktive ACL’er
Gatekeeper er en macOS-sikkerhedsfunktion, der automatisk kontrollerer alle apps, der downloades fra internettet, hvis de er notariserede og udviklersignerede (godkendt af Apple), og beder brugeren om at bekræfte, før de starter eller udsender en advarsel om, at appen ikke kan stole på.
Dette opnås ved at kontrollere en udvidet attribut med navnet com.apple.quarantine, som er tildelt af webbrowsere til alle downloadede filer, svarende til Mark of the Web i Windows.
Achilles-fejlen gør det muligt for specielt udformede nyttelast at misbruge et logisk problem til at indstille restriktive adgangskontrollistetilladelser (ACL), der blokerer webbrowsere og internetdownloadere fra at indstille attributten com.apple.quarantine for downloadet nyttelasten arkiveret som ZIP-filer.
Som et resultat starter den ondsindede app indeholdt i den arkiverede ondsindede nyttelast på målets system i stedet for at blive blokeret af Gatekeeper, så angribere kan downloade og implementere malware.
“Apples Lockdown Mode, introduceret i macOS Ventura som en valgfri beskyttelsesfunktion for højrisikobrugere, der kan være personligt målrettet mod et sofistikeret cyberangreb, har til formål at stoppe nul-klik fjernudførelse af kodeudførelse og derfor ikke forsvarer sig mod Achilles.”
“Slutbrugere bør anvende rettelsen uanset deres status i Lockdown Mode,” tilføjede Microsoft Security Threat Intelligence-teamet.
Skrev Microsoft på sin blog.
Mere macOS-sikkerhedsomgåelser og malware
Dette er blot en af flere Gatekeeper-bypasss, der er fundet i de sidste mange år, hvor mange af dem misbruges i naturen af angribere til at omgå macOS-sikkerhedsmekanismer som Gatekeeper, File Quarantine og System Integrity Protection (SIP) på fuldt patchede Mac’er.
For eksempel rapporterede Bar Or en sikkerhedsfejl kaldet Shrootless i 2021, der kan lade trusselsaktører omgå System Integrity Protection (SIP) for at udføre vilkårlige operationer på den kompromitterede Mac, hæve privilegier til root og endda installere rootkits på sårbare enheder.
Forskeren opdagede også powerdir, en fejl, der gør det muligt for angribere at omgå TCC-teknologi (Transparency, Consent, and Control) for at få adgang til brugernes beskyttede data.
Han udgav også udnyttelseskode til en macOS-sårbarhed (CVE-2022-26706), der kunne hjælpe angribere med at omgå sandkassebegrænsninger for at køre kode på systemet.
Sidst men ikke mindst rettede Apple en nul-dages macOS-sårbarhed i april 2021, der gjorde det muligt for trusselsaktører bag den berygtede Shlayer-malware at omgå Apples sikkerhedskontrol af filkarantæne, gatekeeper og notarisering og downloade mere malware på inficerede Mac’er.
Shlayers skabere havde også formået at få deres nyttelast gennem Apples automatiserede notariseringsproces og brugte en år gammel teknik til at eskalere privilegier og deaktivere macOS ‘Gatekeeper til at køre usignerede nyttelast.
Kilde: Bleebing Computer
Fotokredit: Apple
