Apple устранила уязвимость macOS, которую могли использовать неподписанные и не нотаризованные приложения на основе сценариев, чтобы обойти все механизмы защиты macOS даже в полностью исправленных системах.
Если они обходят автоматические проверки безопасности нотариального заверения (которые сканируют на наличие вредоносных компонентов и проблем с подписью кода), приложениям разрешается запускать Gatekeeper, функция безопасности macOS, предназначенная для проверки того, были ли загруженные приложения нотариально заверены и подписаны разработчиком.
После запуска вредоносных приложений на основе сценариев, нацеленных на обход уязвимости в системе цели, злоумышленники могут использовать их для загрузки и развертывания вредоносных полезных нагрузок второго уровня.
Apple устранила эту уязвимость в macOS 11.6 с помощью обновления безопасности, выпущенного в сентябре 2021 года, которое добавляет улучшенные проверки.
Обход привратника с шебангом
Ошибка обхода привратника CVE-2021-30853 была обнаружена и сообщена Apple инженером по безопасности Box Offensive Гордоном Лонгом .
Он обнаружил, что специально созданные приложения на основе сценариев, загруженные из Интернета, запускались без отображения предупреждений, даже если они автоматически помещались в карантин.
«Специально созданная» часть требует создания приложения, использующего сценарий, начинающийся с символа shebang (! #), Но оставляющий остальную часть строки пустой, что указывает оболочке Unix запустить сценарий без указания интерпретатора команд оболочки.
Это приводит к обходу гейткипера, поскольку демон syspolicyd, который обычно автоматически вызывается расширением ядра AppleSystemPolicy для выполнения проверок безопасности (подписание и нотариальное заверение), больше не запускается для проверки при запуске сценария без указания интерпретатора.
По сути, если сценарий использует shebang (! #), Но не указывает явно интерпретатор, он будет обходить проверки безопасности привратника.
«Демон syspolicyd будет выполнять различные проверки политик и в конечном итоге предотвращать выполнение ненадежных приложений, таких как неподписанные или нотариально заверенные», — пояснил исследователь безопасности Патрик Уордл.
«Но что, если кекст AppleSystemPolicy решит, что демон syspolicyd не нужно запускать? Что ж, тогда процесс разрешен! А если это решение принято неправильно, то у вас есть прекрасный карантин файлов, привратник и нотариальное заверение. обход ».
Как показал Уордл, злоумышленники могут воспользоваться этим недостатком, обманом заставив своих целей открыть вредоносное приложение, которое также можно замаскировать под безобидный на вид PDF-документ.
Такие вредоносные полезные нагрузки могут быть доставлены в системы целей различными способами, включая отравленные результаты поиска, поддельные обновления и троянские приложения, загружаемые с сайтов, ссылающихся на пиратское программное обеспечение.
Подобные ошибки используются вредоносными программами
Это не первая ошибка macOS, исправленная Apple, которая позволяет злоумышленникам полностью обходить механизмы безопасности ОС, такие как Gatekeeper и File Quarantine, на полностью исправленных компьютерах Mac.
В апреле Apple исправила уязвимость нулевого дня, которую в дикой природе использовали операторы вредоносных программ Shlayer, чтобы обойти автоматические проверки безопасности macOS и развернуть дополнительные полезные нагрузки на скомпрометированных компьютерах Mac.
Злоумышленники Shlayer начали нацеливаться на пользователей macOS с помощью неподписанного и нотариально заверенного вредоносного ПО, которое эксплуатировало ошибку нулевого дня (отслеживается как CVE-2021-30657 ), начиная с января 2021 года, как обнаружила группа обнаружения Jamf Protect .
В октябре Microsoft также обнаружила уязвимость macOS , получившую название Shrootless и отслеживаемую как CVE-2021-30892 ), которая может использоваться для обхода защиты целостности системы (SIP) и выполнения произвольных операций, повышения привилегий root и установки руткитов на скомпрометированных устройствах.
«Вредоносное приложение может быть в состоянии изменить защищенные части файловой системы,» сказал Apple , в советах по безопасности , выданных после исправления ошибки Shrootless.
Последнее обновление 8 месяцев назад — GameZoom
