Trellix araştırmacıları, NSO Group’un mobil Pegasus kötü amaçlı yazılımını dağıtmak için macOS ve iOS’un bir özelliğinden yararlanan ForcedEntry saldırısına dayalı yeni bir ayrıcalık yükseltme hatası sınıfı keşfetti.
Yeni hata sınıfı, çeşitli platform uygulamaları bağlamında keyfi kodun yürütülmesine izin vererek, hem macOS hem de iOS’ta ayrıcalık yükseltme ve korumalı alandan kaçış ile sonuçlanır.
Güvenlik açıklarının ciddiyeti orta ile yüksek arasında değişir ve CVSS puanları 5,1 ile 7,1 arasında değişir. Kötü amaçlı uygulamalar ve istismarlar, kullanıcının mesajları, konum verileri, arama geçmişi ve fotoğrafları gibi hassas bilgilere erişim sağlamak için bu kusurlardan yararlanabilir.
Kanada’daki Toronto Üniversitesi’nin Munk Küresel İlişkiler ve Kamu Politikası Okulu’nda bulunan disiplinler arası bir laboratuvar olan Citizen Lab, NSO’nun suiistimalini daha önce ifşa eden ilk kişi olduktan sonra Eylül 2021’de ForcedEntry – CVE-2021-30860’ın varlığını ortaya çıkardı.
Ancak Trellix, Gelişmiş Araştırma Merkezi güvenlik açığı ekibinin iOS ve macOS’ta Apple’ın ForcedEntry’nin istismarını önlemek için tasarlanmış güçlendirilmiş kod imzalama azaltmalarını atlatan bir grup hata fark ettiğini iddia ediyor.
Güvenlik açığı araştırmacısı Austin Emmitt’e göre, yeni hatalar, geliştiricilerin kodu filtrelemek için kullandıkları ve çevresinde Apple’ın ‘NSPredicateVisitor’ adlı bir protokol sunarak ForcedEntry’yi takiben kısıtlamaları sıkılaştırdığı NSPredicate aracını içeriyor.
NSPredicate, geliştiricilerin rasgele nesne listelerini filtrelemesine izin veren masum görünümlü bir sınıftır. Raporlar, bu protokolü uygulayan sınıfların, değerlendirmenin güvenli olduğundan emin olmak için her ifadeyi kontrol etmek için kullanılabileceğini söylüyor.
“Bu hafifletmeler, güvenliği açıkça tehlikeye atabilecek belirli sınıfların ve yöntemlerin kullanılmasını önlemek için büyük bir reddetme listesi kullandı. Ancak, bu yeni azaltma önlemlerinin baypas edilebileceğini keşfettik”, diyor Austin Emmitt.
“Kısıtlanmamış yöntemleri kullanarak, daha önce mevcut olan tüm aynı yöntemleri etkinleştirerek bu listeleri boşaltmak mümkün oldu”.
Apple atandı CVE-2023-23530 bu bypass’a. Daha da önemlisi, NSPredicateVisitor’ın neredeyse her uygulamasından kaçınılabileceği keşfedildi.
Neredeyse her işlemin kendi sürümü olduğundan tek bir uygulama olmasa da, uygulamaların çoğu işlev ifadelerini filtrelemek için “expressionType” özelliğini kullanır.
Bu özelliğin gönderme işlemi sırasında ayarlanabilmesi ve alıcının doğru olduğuna güvenerek çekleri etkisiz kılmasından kaynaklanan sorunlar. CVE-2023-23531 bu bypass’a atandı.
Apple Cihazlarında Yeni Hata ‘Sınıfı’
Araştırmacılar, “Bu yeni hata sınıfında bulduğumuz ilk güvenlik açığı, cihazdaki davranışla ilgili verileri toplayan bir süreç olan coreduetd’de.”
“Mesajlar veya Safari gibi uygun yetkilere sahip bir süreçte kod yürütmeye sahip bir saldırgan, kötü amaçlı bir NSPredicate gönderebilir ve bu işlemin ayrıcalıklarıyla kod çalıştırabilir”.
Saldırgan, macOS’ta kök olarak çalışan bir işlem sayesinde kullanıcının takvimine, adres defterine ve resimlerine erişebilir. CoreDuet ile ilişkili bir süreç olan Contextstored, aynı etkiye sahip çok benzer bir sorundan benzer şekilde etkilenir.
Bu sonuç, saldırganın daha fazla cihaz erişimi olan bir süreçten kod çalıştırmak için zayıf bir XPC hizmeti kullandığı FORCEDENTRY ile karşılaştırılabilir.
Ayrıca, uygulama depolu arka plan programlarının zayıf XPC Hizmetleri vardır. Bu kusurlar, bir saldırgan tarafından bu arka plan programlarıyla bağlantı kurabilen ve herhangi bir uygulamanın, hatta muhtemelen sistem yazılımının yüklenmesini sağlayan bir işleme erişim elde etmek için kullanılabilir.
Ayrıca araştırmacılar, Syslog’dan potansiyel olarak hassas verilere erişmek için istismar edilebilecek XPC hizmeti OSLogService’i buldu. En önemlisi, bir saldırgan bir iPad’in UIKitCore NSPredicate güvenlik açığından yararlanabilir.
“Bir uygulama, kötü amaçlı sahne etkinleştirme kuralları belirleyerek, konum verilerine, kamera ve mikrofona, arama geçmişine, fotoğraflara ve diğer hassas verilere erişmenin yanı sıra cihazı silebilen oldukça ayrıcalıklı bir uygulama olan SpringBoard’un içinde kod yürütmeyi başarabilir”, araştırmacılar
Son düşünceler
Araştırmacılar, yukarıda belirtilen kusurların, her uygulamanın yalnızca ihtiyaç duyduğu kaynaklara kesin erişime sahip olmasına ve ek kaynaklar elde etmek için daha ayrıcalıklı hizmetlerle iletişime geçmesine bağlı olan “macOS ve iOS güvenlik modelinde önemli bir ihlal” olduğunu gösterdiğini belirtiyor. Bu nedenle, hem iOS 16.3 hem de macOS 13.2 bu sorunları çözmektedir.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin