Η Apple διόρθωσε ευπάθεια που θα επέτρεπε σε hackers να εγκαθιστούν κακόβουλο λογισμικό σε συσκευές macOS ανυποψίαστων ανθρώπων μέσω εφαρμογών που παρακάμπτουν τους περιορισμούς του Gatekeeper κατά των μη αξιόπιστων εφαρμογών.
Το ελάττωμα ασφαλείας, που εντοπίζεται ως CVE-2022-42821, ανακαλύφθηκε και αναφέρθηκε από τον κύριο ερευνητή ασφαλείας της Microsoft, Jonathan Bar Or.
Η Apple αντιμετώπισε το σφάλμα στα macOS 13 (Ventura), macOS 12.6.2 (Monterey) και macOS 1.7.2 (Big Sur) πριν από μία εβδομάδα, στις 13 Δεκεμβρίου 2022.
Παράκαμψη Gatekeeper
Το Gatekeeper στο macOS είναι μια λειτουργία ασφαλείας που σαρώνει τις εφαρμογές που κατεβάζετε από το διαδίκτυο για συμβατότητα και ασφάλεια. Εάν μια εφαρμογή δεν είναι εγκεκριμένη από την Apple, το Gatekeeper εκδίδει μια ειδοποίηση προτού σας επιτρέψει να την ανοίξετε.
Δείτε επίσης: H-Hotels: Το Play ransomware υπεύθυνο για την κυβερνοεπίθεση
Αυτό επιτυγχάνεται ελέγχοντας ένα εκτεταμένο χαρακτηριστικό που ονομάζεται com.apple.quarantine, το οποίο εκχωρείται από τα προγράμματα περιήγησης σε όλα τα ληφθέντα αρχεία (παρόμοια λειτουργεί και το Mark of the Web στα Windows).
Η ευπάθεια macOS που ανακαλύφθηκε από τον ερευνητή της Microsoft, επιτρέπει σε ειδικά κατασκευασμένα payloads να κάνουν κατάχρηση ενός ζητήματος για να ορίσουν restrictive Access Control List (ACL) permissions που εμποδίζουν τα προγράμματα περιήγησης ιστού και τα προγράμματα λήψης Internet να ορίσουν το χαρακτηριστικό com.apple.quarantine για λήψη payload που έχει αρχειοθετηθεί ως αρχεία ZIP.
Ως αποτέλεσμα, η κακόβουλη εφαρμογή που περιέχεται στο αρχειοθετημένο κακόβουλο payload ξεκινά στο σύστημα του στόχου αντί να αποκλειστεί από το Gatekeeper. Έτσι, οι εγκληματίες του κυβερνοχώρου μπορούν να κατεβάσουν και να αναπτύξουν malware σε macOS συσκευές.
Οι παρακάμψεις Gatekeeper, όπως αυτή, θα μπορούσαν να αξιοποιηθούν ως φορέας αρχικής πρόσβασης από κακόβουλο λογισμικό και άλλες απειλές και θα μπορούσαν να συμβάλουν στην αύξηση του ποσοστού επιτυχίας κακόβουλων καμπανιών και επιθέσεων στο macOS.
Τη Δευτέρα, η Microsoft δήλωσε ότι η λειτουργία Lockdown Mode που εισήχθη στο macOS Ventura της Apple είναι ένα προαιρετικό μέτρο ασφαλείας για τους χρήστες που διατρέχουν υψηλό κίνδυνο να γίνουν στόχος εξελιγμένων κυβερνοεπιθέσεων. Ωστόσο, έχει σχεδιαστεί για να προστατεύει από zero-click remote code execution exploits. Δεν προστατεύει έναντι της ευπάθειας CVE-2022-42821.
Δείτε επίσης: T-Mobile: Νέα λειτουργία SIM Protection κυκλοφόρησε!
“Οι τελικοί χρήστες θα πρέπει να εφαρμόζουν την επιδιόρθωση ανεξάρτητα από το Lockdown Mode status“, πρόσθεσε η ομάδα της Microsoft.
macOS και malware
Με την πάροδο των ετών, έχουν βρεθεί πολλές παρακάμψεις του Gatekeeper – με πολλές από αυτές να χρησιμοποιούνται από επιτιθέμενους για να παρακάμψουν τους μηχανισμούς ασφαλείας του macOS όπως το Gatekeeper, το File Quarantine και το System Integrity Protection (SIP) σε Mac που είναι πλήρως ενημερωμένοι.
Για παράδειγμα, ο Bar Or βρήκε ένα ελάττωμα ασφαλείας γνωστό ως Shrootless το 2021. Αυτό επιτρέπει στους φορείς απειλών να παρακάμπτουν το System Integrity Protection – SIP για να κάνουν ό,τι θέλουν στον Mac που έχουν παραβιάσει. Θα μπορούσαν ακόμη και να εγκαταστήσουν rootkits στη συσκευή.
Ο ερευνητής έχει ανακαλύψει και το powerdir, ένα σφάλμα που επιτρέπει στους επιτιθέμενους να παρακάμπτουν την τεχνολογία Transparency, Consent, and Control (TCC) για να έχουν πρόσβαση στα προστατευμένα δεδομένα των χρηστών.
Επιπλέον, δημοσίευσε exploit code για μια ευπάθεια του macOS (CVE-2022-26706). Οι επιτιθέμενοι θα μπορούσαν να το χρησιμοποιήσουν για να παρακάμψουν τους περιορισμούς του sandbox και να εκτελέσουν κώδικα στο σύστημα.
Δείτε επίσης: Το κακόβουλο πακέτο PyPI «SentinelOne» κλέβει data από developers
Τέλος, η Apple διόρθωσε τον Απρίλιο του 2021 μια ευπάθεια του macOS που επέτρεπε στους κακόβουλους φορείς που βρίσκονται πίσω από το γνωστό κακόβουλο λογισμικό Shlayer, να παρακάμπτουν τα μέτρα ασφαλείας της Apple, File Quarantine, Gatekeeper και Notarization και να κατεβάζουν πρόσθετο κακόβουλο λογισμικό σε μολυσμένους Mac.
Συνολικά, αυτές οι ευπάθειες ασφαλείας του macOS καταδεικνύουν πόσο σημαντικό είναι για τους χρήστες Mac να επαγρυπνούν όταν πρόκειται για την ασφάλεια στο διαδίκτυο. Η Apple κυκλοφορεί επιδιορθώσεις για τα ζητήματα ασφαλείας, οπότε βεβαιωθείτε ότι διατηρείτε πάντα το λειτουργικό σας σύστημα ενημερωμένο με όλες τις τελευταίες ενημερώσεις – αυτό θα συμβάλει σε μεγάλο βαθμό στο να είστε ασφαλείς από πιθανές απειλές και επιθέσεις που σχετίζονται με αυτές τις ευπάθειες ασφαλείας.
Πηγή: www.bleepingcomputer.com