macOS Takvim’de kritik bir sıfır tıklama güvenlik açığı keşfedildi. Bu güvenlik açığı, saldırganların Takvim sanal alanı ortamında keyfi dosyalar eklemesine veya silmesine ve herhangi bir kullanıcı etkileşimi olmadan kötü amaçlı kod yürütmesine olanak tanıyor.
Güvenlik araştırmacısı Mikko Kenttala tarafından 2022 yılında bulunan güvenlik açığı, Fotoğraflar’daki bir güvenlik koruması ihlaliyle birleştirilerek kullanıcıların hassas iCloud Fotoğrafları verilerinin tehlikeye atılması da mümkün olabilir.
Bu istismar, saldırganın temizlenmemiş bir dosya adına sahip bir dosya eki içeren kötü amaçlı bir takvim daveti göndermesiyle başlar. Bu, saldırganın bir dizin geçiş saldırısı gerçekleştirmesine ve dosyayı kurbanın dosya sisteminde istenmeyen konumlara yerleştirmesine olanak tanır.
CVE-2022-46723 olarak izlenen güvenlik açığı, saldırganların Takvim uygulamasının dosya sistemindeki dosyaları üzerine yazmasına veya silmesine olanak tanır. Saldırganlar daha sonra, özellikle Monterey’den Ventura’ya yükseltildiğinde kodu yürütmek üzere tasarlanmış kötü amaçlı takvim dosyaları enjekte ederek saldırıyı tırmandırabilir.
Uyumluluğun Kodunu Çözme: CISO’ların Bilmesi Gerekenler – Ücretsiz Web Seminerine Katılın
Bu enjekte edilen dosyalar, sistem takvim verilerini işlediğinde tetiklenecek uyarı işlevlerine sahip olayları içeriyordu. Dosyalar, .dmg resimlerini ve .url kısayollarını otomatik olarak başlatacak ve sonunda uzaktan kod yürütmeye (RCE) yol açacak kodlar içeriyordu.
Kenttala, saldırının ciddiyetini göstermek için bir saldırganın iCloud’da saklanan özel kullanıcı resimlerini sızdırmak için Photos uygulamasını nasıl kötüye kullanabileceğini gösterdi.
Fotoğraflar’ın yapılandırmasını Sistem Fotoğraf Kütüphanesi olarak korumasız bir dizini kullanacak şekilde değiştirerek saldırgan, Şeffaflık, Onay ve Kontrol (TCC) korumasını aşabilir ve kurbanın iCloud fotoğraflarına erişim sağlayabilir.
Apple’ın Tepkisi
Apple, Ekim 2022 ile Eylül 2023 arasındaki tüm güvenlik açıklarını düzeltti. Düzeltmeler, Takvim uygulamasındaki dosya izinlerinin sıkılaştırılmasını ve dizin geçiş açığını önlemek için ek güvenlik katmanlarının eklenmesini içeriyordu.
Bu tür sıfır tıklama güvenlik açıklarına karşı korunmak için, Apple sık sık güvenlik açıklarını gideren yamalar yayınladığından, kullanıcıların yazılımlarını güncel tutmaları önerilir. Ayrıca, uygulamaların takvimler ve fotoğraflar gibi hassas verilere erişimini kısıtlamak, cihaz güvenliğini güçlendirmeye yardımcı olabilir.
Bu güvenlik açığı, kullanıcıların özel verilerini hedef alan giderek daha karmaşık saldırıların devam eden tehdidini vurgulamaktadır. Bu riskleri azaltmada uyanık kalmak ve güvenlik güncellemelerini derhal uygulamak hayati önem taşımaktadır.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14-day free trial