Cisco Talos, Microsoft’un macOS uygulamalarında TCC çerçeve zayıflıklarından yararlanan 8 güvenlik açığını ortaya çıkarıyor. Bilgisayar korsanları güvenliği aşabilir, kötü amaçlı yazılım enjekte edebilir ve verilere erişebilir. Güncellemeler koruma için çok önemlidir.
Cisco Talos, Microsoft’un macOS uygulamalarında sekiz güvenlik açığı keşfetti ve platformun izin tabanlı güvenlik modeli olan Şeffaflık, Onay ve Kontrol (TCC) çerçevesinin güvenlik açığını ortaya koydu.
TCC, uygulamalar bunlara erişebilmeden önce kullanıcıdan açık onay talep ederek kullanıcı verilerini ve sistem kaynaklarını koruyan bir güvenlik politikasıdır. Ancak araştırmacılar, Microsoft uygulamalarındaki güvenlik açıklarını kullanarak TCC’yi atlatıp kullanıcı onayı olmadan hassas kullanıcı verilerine ve kaynaklarına erişebileceklerini buldular.
19 Ağustos 2024’te yayınlanan araştırma, kütüphanelerin diğer uygulamaların izinlerini veya yetkilerini istismar etme, yani kütüphane enjeksiyonu veya Dylib Kaçırma olarak da adlandırılan zaaflarına odaklanıyor. MacOS, bir saldırganın başka bir uygulamanın süreci aracılığıyla keyfi kod yürütme olasılığını azaltan güçlendirilmiş çalışma zamanı gibi özellikler ile bu tehdide karşı koyuyor.
Ancak bir saldırgan, çalışan bir uygulamanın işlem alanına bir kütüphane enjekte etmeyi başarırsa, bu kütüphane, işleme daha önce verilmiş tüm izinleri kullanabilir ve böylece uygulama adına çalışabilir.
Bu durum, Microsoft Teams gibi bazı uygulamaların kritik güvenlik özelliklerini devre dışı bırakan belirli yetkilere sahip olması nedeniyle gerçekleşir. Örneğin Teams, bir uygulamanın imza doğrulaması yapmadan üçüncü taraf kitaplıkları yüklemesine izin veren com.apple.security.cs.disable-library-validation yetkisine sahiptir. Bu, saldırganlar için bir açıklık yaratır çünkü bu boşlukları kullanarak güvenilir uygulamanın izinlerini devralabilen kötü amaçlı kitaplıklar enjekte edebilirler.
Saldırı, yetkisiz erişim elde etmek için macOS sistemlerindeki güvenlik açıklarından yararlanan bilgisayar korsanlarını içerir. Microsoft Teams’deki devre dışı bırakılmış kitaplık doğrulaması gibi bilinen güvenlik açıklarını hedef alırlar. Bir kez tanımlandıktan sonra, kullanıcıları kötü amaçlı ekleri açmaya veya tehlikeye atılmış bağlantılara tıklamaya kandırarak güvenlik açığından yararlanırlar. Uygulamanın sürecine kötü amaçlı kitaplıklar enjekte ederek güvenlik önlemlerini atlatır ve izinleri çalarlar.
Bu kütüphaneler daha sonra saldırganın ayrıcalıklarını yükselterek hassas verilere ve sistem kaynaklarına erişim sağlayabilir. Bazı durumlarda, sistem yeniden başlatıldıktan sonra bile sürekli erişimi garantilemek için kalıcılık mekanizmaları da uygulayabilirler.
Bu güvenlik açıkları saldırganların kullanıcı etkileşimi olmadan e-posta göndermesine, ses klipleri kaydetmesine, fotoğraf çekmesine veya video kaydetmesine olanak tanıyabilir. Microsoft bu sorunları düşük riskli olarak değerlendiriyor, ancak araştırmacılar tarafından bildirilen dört uygulama güncellendi ve artık açıklanan senaryoya karşı savunmasız değil.
Talos tarafından belirlenen güvenlik açıklarının listesi, Talos kimlikleri ve ilişkili CVE’lerle birlikte aşağıdadır:
Düzenli yazılım güncellemeleri, bilinmeyen bağlantıların ve eklerin dikkatli kullanımı, saygın güvenlik çözümleri ve güvenli tarama alışkanlıkları, macOS için Microsoft uygulamalarındaki güvenlik açıklarından yararlanan kötü amaçlı yazılım saldırılarının riskini önemli ölçüde azaltabilir.
İLGİLİ KONULAR
- Apple Kısayolları Güvenlik Açığı Hassas Verileri Açığa Çıkarıyor
- Apple Safari En Güvenli, Google Chrome En Riskli Tarayıcı – Çalışma
- Bluetooth Açığı macOS ve iOS’ta Tuş Vuruşu Enjeksiyonunu Etkinleştiriyor
- Yeni Truva Atı Proxy Kötü Amaçlı Yazılımıyla Dolu Kırık macOS Yazılımı
- Facebook, Apple ve Amazon Sahtekarlıklarda En Çok Taklit Edilen Şirketler