Apple исправила брешь в системе безопасности macOS за обходом гейткипера

4
Отчет - 91% приложений App Store следуют правилу отслеживания по собственному желанию

Apple устранила уязвимость macOS, которую могли использовать неподписанные и не нотаризованные приложения на основе сценариев, чтобы обойти все механизмы защиты macOS даже в полностью исправленных системах.

Если они обходят автоматические проверки безопасности нотариального заверения (которые сканируют на наличие вредоносных компонентов и проблем с подписью кода), приложениям разрешается запускать Gatekeeper, функция безопасности macOS, предназначенная для проверки того, были ли загруженные приложения нотариально заверены и подписаны разработчиком.

После запуска вредоносных приложений на основе сценариев, нацеленных на обход уязвимости в системе цели, злоумышленники могут использовать их для загрузки и развертывания вредоносных полезных нагрузок второго уровня.

Apple устранила эту уязвимость в macOS 11.6 с помощью обновления безопасности, выпущенного в сентябре 2021 года, которое добавляет улучшенные проверки.

Обход привратника с шебангом

Ошибка обхода привратника CVE-2021-30853 была обнаружена и сообщена Apple инженером по безопасности Box Offensive Гордоном Лонгом .

Он обнаружил, что специально созданные приложения на основе сценариев, загруженные из Интернета, запускались без отображения предупреждений, даже если они автоматически помещались в карантин.

«Специально созданная» часть требует создания приложения, использующего сценарий, начинающийся с символа shebang (! #), Но оставляющий остальную часть строки пустой, что указывает оболочке Unix запустить сценарий без указания интерпретатора команд оболочки.

Это приводит к обходу гейткипера, поскольку демон syspolicyd, который обычно автоматически вызывается расширением ядра AppleSystemPolicy для выполнения проверок безопасности (подписание и нотариальное заверение), больше не запускается для проверки при запуске сценария без указания интерпретатора.

По сути, если сценарий использует shebang (! #), Но не указывает явно интерпретатор, он будет обходить проверки безопасности привратника.

«Демон syspolicyd будет выполнять различные проверки политик и в конечном итоге предотвращать выполнение ненадежных приложений, таких как неподписанные или нотариально заверенные», — пояснил исследователь безопасности Патрик Уордл.

«Но что, если кекст AppleSystemPolicy решит, что демон syspolicyd не нужно запускать? Что ж, тогда процесс разрешен! А если это решение принято неправильно, то у вас есть прекрасный карантин файлов, привратник и нотариальное заверение. обход ».

Как показал Уордл, злоумышленники могут воспользоваться этим недостатком, обманом заставив своих целей открыть вредоносное приложение, которое также можно замаскировать под безобидный на вид PDF-документ.

Такие вредоносные полезные нагрузки могут быть доставлены в системы целей различными способами, включая отравленные результаты поиска, поддельные обновления и троянские приложения, загружаемые с сайтов, ссылающихся на пиратское программное обеспечение.

Подобные ошибки используются вредоносными программами

Это не первая ошибка macOS, исправленная Apple, которая позволяет злоумышленникам полностью обходить механизмы безопасности ОС, такие как Gatekeeper и File Quarantine, на полностью исправленных компьютерах Mac.

В апреле Apple исправила уязвимость нулевого дня, которую в дикой природе использовали операторы вредоносных программ Shlayer, чтобы обойти автоматические проверки безопасности macOS и развернуть дополнительные полезные нагрузки на скомпрометированных компьютерах Mac.

Злоумышленники Shlayer начали нацеливаться на пользователей macOS с помощью неподписанного и нотариально заверенного вредоносного ПО, которое эксплуатировало ошибку нулевого дня (отслеживается как CVE-2021-30657 ), начиная с января 2021 года, как обнаружила группа обнаружения Jamf Protect .

В октябре Microsoft также обнаружила уязвимость macOS , получившую название Shrootless и отслеживаемую как CVE-2021-30892 ), которая может использоваться для обхода защиты целостности системы (SIP) и выполнения произвольных операций, повышения привилегий root и установки руткитов на скомпрометированных устройствах.

«Вредоносное приложение может быть в состоянии изменить защищенные части файловой системы,» сказал Apple , в советах по безопасности , выданных после исправления ошибки Shrootless.

Последнее обновление 8 месяцев назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии