Microsoft, kötü amaçlı uygulamaların yürütülmesini önlemek için uygulanan güvenlik korumalarını aşmak için bir saldırgan tarafından istismar edilebilecek Apple macOS’ta artık yamalanmış bir güvenlik açığının ayrıntılarını açıkladı.
Eksiklik, dublaj Aşil (CVE-2022-42821, CVSS puanı: 5.5), iPhone üreticisi tarafından macOS Ventura 13, Monterey 12.6.2 ve Big Sur 11.7.2’de ele alındı ve bir uygulama tarafından silah haline getirilebilecek bir mantık sorunu olarak tanımlandı. Gatekeeper kontrollerini atlayın.
Microsoft 365 Defender Araştırma Ekibi’nden Jonathan Bar Or, “Bunun gibi ağ geçidi bekçisi atlamaları, kötü amaçlı yazılımlar ve diğer tehditler tarafından ilk erişim için bir vektör olarak kullanılabilir ve macOS’ta kötü amaçlı kampanyaların ve saldırıların başarı oranını artırmaya yardımcı olabilir” dedi.
Gatekeeper, işletim sisteminde yalnızca güvenilir uygulamaların çalışmasını sağlamak için tasarlanmış bir güvenlik mekanizmasıdır. Bu, internetten indirilen dosyalara atanan “com.apple.quarantine” adlı genişletilmiş bir öznitelik aracılığıyla uygulanır. Windows’taki Web İşareti (MotW) bayrağına benzer.
Dolayısıyla, şüphelenmeyen bir kullanıcı, meşru bir yazılımın kimliğine bürünen potansiyel olarak zararlı bir uygulama indirdiğinde, Apple tarafından geçerli bir şekilde imzalanmadığı ve noter tasdikli olmadığı için Gatekeeper özelliği, uygulamaların çalıştırılmasını engeller.
Bir uygulamanın Apple tarafından onaylandığı durumlarda bile, kullanıcılara açık onaylarını almak için ilk kez başlatıldığında bir istem görüntülenir.
Gatekeeper’ın macOS’ta oynadığı önemli rol göz önüne alındığında, tehdit aktörlerinin makinelere kötü amaçlı yazılım yerleştirmesine etkili bir şekilde izin verebilecek güvenlik bariyerini aşmanın sonuçlarını hayal etmek zor.
Microsoft tarafından tanımlanan Aşil güvenlik açığı, indirilen bir dosyaya son derece kısıtlayıcı izinler eklemek için Erişim Kontrol Listeleri (ACL’ler) adı verilen bir izin modelinden yararlanır (yani, “herkes yazma, yazma, yazma, yazma, yazma, chown”), böylece Safari’nin karantina genişletilmiş özniteliği.
Varsayımsal bir saldırı senaryosunda, bir saldırgan, hileli bir uygulama oluşturma ve onu bir sunucuda barındırma tekniğini benimseyebilir ve bu, daha sonra sosyal mühendislik, kötü amaçlı reklamlar veya bir su birikintisi yoluyla olası bir hedefe iletilebilir.
Bu yöntem aynı zamanda Apple’ın macOS Ventura’da yeni tanıttığı Kilitleme Modu’nu da (sıfır tıklama istismarlarına karşı isteğe bağlı kısıtlayıcı bir ayar) atlatır ve kullanıcıların tehditleri azaltmak için en son güncellemeleri uygulamasını gerektirir.
Bar Or, “Sahte uygulamalar, macOS’taki en iyi giriş vektörlerinden biri olmaya devam ediyor, bu da Gatekeeper baypas tekniklerinin çekici ve hatta düşmanların saldırılarda avantaj sağlaması için gerekli bir yetenek olduğunu gösteriyor” dedi.