Uç Nokta Güvenliği
Microsoft Araştırmacıları, Kusurun Bilgisayar Korsanlarının Saptanamayan Kötü Amaçlı Yazılımları Yüklemesine İzin Verdiğini Söyledi
Prajeet Nair (@prajeetspeaks) •
30 Mayıs 2023
Artık yamalanmış bir macOS güvenlik açığı, root erişimi olan saldırganların, kötü amaçlı yazılımların bir Mac’teki korumalı dosya ve klasörleri değiştirmesini önleyen çekirdek düzeyindeki bir güvenlik özelliğini atlamasına izin verdi.
Ayrıca bakınız: İnfografik I Çoklu Bulut Dünyasında Veri Koruma
Microsoft, macOS veri aktarım özelliği Migration Assistant’ı içerdiği için bu güvenlik açığına Migren adını verdi. Geçtiğimiz on yıl boyunca, Apple masaüstü bilgisayarları, Sistem Bütünlüğü Koruması adı verilen bir mekanizmada dosya sistemine kök erişimini kısıtlayarak kötü amaçlı yazılım hasarını sınırlandırdı.
Apple, CVE-2023-32369 olarak izlenen güvenlik açığını, mobil aygıtlar için tarayıcı işleme motorunda aktif olarak yararlanılan sıfır gün kusurlarını da ele alan Mayıs ayı ortasındaki güvenlik güncellemelerinde yamaladı (bkz.: Apple, Doğada İstismar Edilen 3 Sıfır Günü Düzeltti).
Sistem Bütünlüğü Koruması, işletim sisteminin hassas bölümlerine kök erişimini sınırlar. /bin yürütülebilir komutlar dizini ve /system dosya. İşletim sistemi güncellemeleri gibi bazı istisnalar vermelidir ve bu, bilgisayar korsanlarının korumayı atlatması için fırsatlar yaratır.
Microsoft, “SIP’yi atlamak, saldırganların ve kötü amaçlı yazılım yazarlarının rootkit’leri başarıyla yükleme, kalıcı kötü amaçlı yazılım oluşturma ve ek teknikler ve açıklardan yararlanma için saldırı yüzeyini genişletme potansiyelini artırmak gibi ciddi sonuçlara yol açabilir” diye yazdı. Saldırgan, SIP tarafından antivirüs tarafından algılanmaya karşı korunan kötü amaçlı yazılımı yüklemek için bu açıktan yararlanmayı kullanabilir. Bilgisayar korsanları, Apple’ın Endpoint Security çekirdek izleme sistemi tarafından tespit edilmeyecek rastgele kodlar da çalıştırabilir.
Microsoft araştırmacılarının keşfettiği yöntem, Apple’ın Redmond’un 2021’de açıkladığı işletim sistemine oluşturduğu SIP istisnalarının – yetkiler olarak bilinen – bir özelliği üzerine kuruludur. Yani, bazı yetkilendirmeler, alt süreçlerin bir SIP atlama yetkisini devralmasına izin verir.
Bu durumda, bir bilgisayardan diğerine veri geçişini işlemek üzere atanan bir arka plan programı, systemmigrationdalt süreçlere bir baypas yetkilendirmesi geçirebilir.
tetikleme systemmigrationd Araştırmacılar, tipik olarak Migration Assistant yardımcı programının kullanılmasını gerektirir ve bu, sistemden çıkış yapılmasını gerektirir. Araştırmacılar, saldırıyı otomatikleştirmek için, yeni bir macOS yüklemesinden sonra otomatik olarak görünen Kurulum Yardımcısı programı aracılığıyla oturumu kapatmadan geçişi tetikleyebileceklerini keşfettiler.
Saldırganlar, tespit edilemeyen kötü amaçlı yazılımları yüklemenin yanı sıra, uygulama izinlerini kontrol eden Şeffaflık, Rıza ve Kontrol veritabanını değiştirmek için bu güvenlik açığını kullanabilir ve onlara özel verilere ve çevre birimlerine erişim sağlayabilir.