Uç Nokta Güvenliği
Microsoft Araştırmacıları, Kusurun Bilgisayar Korsanlarının Saptanamayan Kötü Amaçlı Yazılımları Yüklemesine İzin Verdiğini Söyledi
Prajeet Nair (@prajeetspeaks) •
30 Mayıs 2023
Artık yamalanmış bir macOS güvenlik açığı, root erişimine sahip saldırganların, kötü amaçlı yazılımların bir Mac’teki korumalı dosya ve klasörleri değiştirmesini önleyen çekirdek düzeyindeki bir güvenlik özelliğini atlamasına olanak tanır.
Ayrıca bakınız: İnfografik I Çoklu Bulut Dünyasında Veri Koruma
Microsoft, macOS veri aktarım özelliği Migration Assistant’ı içerdiğinden güvenlik açığını “Migren” olarak adlandırdı. On yıldır Apple masaüstü bilgisayarları, Sistem Bütünlüğü Koruması adı verilen bir mekanizmada dosya sistemine kök erişimini kısıtlayarak kötü amaçlı yazılım hasarını sınırlandırıyor.
Apple, CVE-2023-32369 olarak izlenen güvenlik açığını, mobil aygıtlar için tarayıcı işleme motorunda aktif olarak yararlanılan sıfır gün kusurlarını da ele alan Mayıs ayı ortasındaki güvenlik güncellemelerinde yamaladı (bkz.: Apple, Doğada İstismar Edilen 3 Sıfır Günü Düzeltti).
Sistem Bütünlüğü Koruması, işletim sisteminin hassas bölümlerine kök erişimini sınırlar. /bin yürütülebilir komutlar dizini ve /system dosya. İşletim sistemi güncellemeleri gibi bazı istisnalar vermelidir ve bu, bilgisayar korsanlarının korumayı atlatması için fırsatlar yaratır.
Microsoft, “SIP’yi atlamak, saldırganların ve kötü amaçlı yazılım yazarlarının rootkit’leri başarıyla yükleme, kalıcı kötü amaçlı yazılım oluşturma ve ek teknikler ve açıklardan yararlanma için saldırı yüzeyini genişletme potansiyelini artırmak gibi ciddi sonuçlara yol açabilir” diye yazdı. Saldırgan, kendisi antivirüs tarafından algılanmaya karşı SIP tarafından korunan kötü amaçlı yazılımı yüklemek için istismarı kullanabilir. Bilgisayar korsanları, Apple’ın Endpoint Security çekirdek izleme sistemi tarafından tespit edilmeyecek rastgele kodlar da çalıştırabilir.
Microsoft araştırmacılarının keşfettiği yöntem – yetkiler olarak bilinen – SIP istisnalarının bir özelliği üzerine kuruludur – Apple, Redmond’un 2021’de açıkladığı işletim sistemine derler. Yani, bazı yetkilendirmeler, alt süreçlerin bir SIP baypas yetkisini devralmasına izin verir.
Bu durumda, bir bilgisayardan diğerine veri geçişini işlemek üzere atanan bir arka plan programı, systemmigrationd alt süreçlere bir baypas yetkilendirmesi geçirebilir.
tetikleme systemmigrationd Araştırmacılar, tipik olarak Migration Assistant yardımcı programının kullanılmasını gerektirir ve bu, sistemden çıkış yapılmasını gerektirir. Araştırmacılar, saldırıyı otomatikleştirmek için, yeni bir macOS yüklemesinden sonra otomatik olarak görünen Kurulum Yardımcısı programı aracılığıyla oturumu kapatmadan geçişi tetikleyebileceklerini keşfettiler.
Saldırganlar, tespit edilemeyen kötü amaçlı yazılımları yüklemenin yanı sıra, uygulama izinlerini kontrol eden Şeffaflık, Rıza ve Kontrol veritabanını değiştirmek için bu güvenlik açığını kullanabilir ve onlara özel verilere ve çevre birimlerine erişim sağlayabilir.