macOS Monterey, Big Sur ve Ventura’da bulunan CVE-2022-42821 hatası, bir uygulamanın Gatekeeper kontrollerini atlamasına olanak tanır.
Gatekeeper, kullanıcıların internetten indirdiği uygulamaları kontrol eder. Uygulama Apple tarafından imzalanmışsa, kullanıcıdan uygulamayı başlatmak istediğini onaylaması istenir; değilse, uygulamaya güvenilmez ve yürütme reddedilir.
Microsoft tehdit araştırmacısı Jonathan Bar Or, bir saldırganın Gatekeeper’ı atlamak için mac OS erişim kontrol listelerini (ACL’ler) kullanabileceğini keşfetti.
ACL’ler, dosyalara ve dizinlere, Unix köklerinden devralınan mac OS izin modelinde bulunandan daha ayrıntılı izin yönetimi sağlar.
Bar Or, ACL’lerin dosyalara nasıl uygulandığı konusunda bir mantık hatası keşfetti. Tarayıcıların ve indiricilerin, bir dosyanın güvenilir olmadığı konusunda Gatekeeper’ı uyaran özniteliği (com.apple.quarantine) ayarlamasını engeller.
Bar Veya Gatekeeper’ı atlamak için aşağıdaki kavram kanıtını açıklayın:
- “Rastgele bir simge ve yük ile sahte bir dizin yapısı oluşturun.
- com.apple.acl.text genişletilmiş öznitelik anahtarı ve kısıtlayıcı bir ACL’yi temsil eden bir değerle bir AppleDouble dosyası oluşturun (“everyone deny write,writeattr,writeextattr,writesecurity,chown” eşdeğerini seçtik). AppleDouble dosyasını oluşturmak için aynen kullanılıyorsa, doğru AppleDouble düzeltme ekini gerçekleştirin.
- AppleDouble dosyasının yanı sıra uygulamayla bir arşiv oluşturun ve onu bir web sunucusunda barındırın.”
Düzeltmeler mac OS Big Sur 11.7.2, Monterey 12.6.2 ve Ventura 13’tedir.