macOS’taki kritik, orta ve düşük önemdeki güvenlik açıklarının sıfır tıklamayla tespit edilebilmesi, saldırganların macOS’un marka adı güvenlik korumalarını zayıflatmasına ve eninde sonunda kurbanların iCloud verilerini tehlikeye atmasına olanak tanıyabilir.
Hikaye, Takvim etkinliklerine eklenen dosyaların temizlenmemesiyle başlıyor. Oradan, araştırmacı Mikko Kenttälä hedeflenen sistemlerde uzaktan kod yürütme (RCE) gerçekleştirebileceğini ve hassas verilere erişebileceğini keşfetti — deneylerinde iCloud Photos’u kullandı. İşlemdeki hiçbir adım kullanıcı etkileşimi gerektirmiyordu ve hiçbiri Apple’ın Kapıcısı ne de Şeffaflık, Onay ve Kontrol (TCC) korumalar bunu durdurabilir.
macOS’ta Sıfır Tıklama Saldırısı Zinciri
Zincirdeki en önemli ilk hata olan CVE-2022-46723, Şubat 2023’te 10 üzerinden “kritik” 9,8 CVSS puanı ile ödüllendirildi.
Sadece tehlikeli değildi, aynı zamanda istismarı da kolaydı. Bir saldırgan kurbana kötü amaçlı bir dosya içeren bir takvim daveti gönderebilirdi. macOS dosya adını düzgün bir şekilde inceleyemediği için saldırgan dosyaya çeşitli ilginç etkiler yaratacak şekilde keyfi bir isim verebilirdi.
Örneğin, belirli, önceden var olan bir sistem dosyasını silme amacıyla ona bir ad verebilirler. Ona var olan bir dosyayla aynı adı verip, ardından onu ilettikleri takvim etkinliğini silerlerse, sistem hem kötü amaçlı dosyayı hem de taklit ettiği orijinal dosyayı, ne sebeple olursa olsun siler.
Daha tehlikeli olanı, bir saldırganın performans gösterme potansiyeliydi yol geçişieklerini, ekli dosyaların sistemdeki diğer konumlara kaydedilmesi gereken Takvim’in sanal alanından kaçmasına izin verecek şekilde adlandırdılar.
Kenttälä, bir işletim sistemi yükseltmesinden yararlanmak için bu keyfi dosya yazma gücünü kullandı (keşif sırasında macOS Ventura piyasaya sürülmek üzereydi). İlk olarak, bir geçiş sırasında daha fazla dosyanın yürütülmesini tetikleyecek uyarıları gizleyerek, Siri tarafından önerilen tekrarlayan bir takvim etkinliğini taklit eden bir dosya oluşturdu. Bu takip dosyalarından biri, eski takvim verilerinin yeni sisteme geçirilmesinden sorumluydu. Bir diğeri, bir güvenlik bayrağını tetiklemeden, açık kaynaklı Sunucu İleti Bloğu (SMB) protokolü olan Samba’dan bir ağ paylaşımı bağlamasına izin verdi. Diğer iki dosya, kötü amaçlı bir uygulamanın başlatılmasını tetikledi.
Apple’ın Yerel Güvenlik Kontrollerinin Zayıflatılması
Kötü amaçlı uygulama, macOS’un Gatekeeper güvenlik özelliğindeki bir atlama sayesinde herhangi bir alarm vermeden gizlice içeri sızdı; bu özellik Mac sistemleri ve güvenilmeyen uygulamaların önünde engel oluşturuyordu. CVE-2023-40344 olarak etiketlenen bu uygulamaya Ocak 2024’te 10 üzerinden 5,5 CVSS orta şiddette notu verilmişti.
Ancak Gatekeeper, saldırıda baltalanan tek imza macOS güvenlik özelliği değildi. Kötü amaçlı uygulama tarafından başlatılan bir betiği kullanan Kenttälä, iCloud Photos ile ilişkili yapılandırma dosyasını kötü amaçlı bir dosyayla başarılı bir şekilde değiştirdi. Bu, Photos’u macOS’un hassas verilere ve kaynaklara uygunsuz bir şekilde erişmesini önlemek için kullandığı protokol olan TCC korumasının dışında, özel bir yola yeniden yönlendirdi. Yeniden yönlendirme, CVE-2023-40434 — “düşük” 3.3 CVSS önem derecesi puanı ile — “basit değişikliklerle” yabancı sunuculara sızdırılabilen fotoğrafların kasıtlı olarak çalınmasına kapı açtı.
“MacOS’un Gatekeeper ve TCC’si yalnızca güvenilir yazılımların yüklenmesini ve hassas verilere erişimin yönetilmesini sağlamak için kritik öneme sahiptir,” diye açıklıyor Critical Start’ın siber tehdit araştırmaları kıdemli yöneticisi Callie Guenther. “Ancak, sıfır tıklama güvenlik açığı macOS Takvimi saldırganların bu korumaları deneme süreçlerini istismar ederek nasıl aşabileceğini gösterdi.” Guenther, yine de macOS’un bu tür saldırılara karşı yalnızca bu kadar savunmasız olmadığını belirtiyor: “Benzer güvenlik açıkları Windows’ta da mevcut. Burada Device Guard ve SmartScreen, ayrıcalık yükseltme veya çekirdek güvenlik açıklarını istismar etme gibi teknikler kullanılarak aşılabilir.”
Örneğin, “Saldırganlar Windows güvenlik kontrollerini alt etmek için DLL ele geçirme veya sandbox kaçış yöntemlerini kullandılar. Her iki işletim sistemi de sağlam güvenlik çerçevelerine güveniyor, ancak ısrarcı saldırganlar (özellikle APT grupları) bu savunmaları aşmanın yollarını buluyor.” diye ekliyor.
Apple, Ekim 2022 ile Eylül 2023 arasında çeşitli noktalarda istismar zincirindeki çok sayıda güvenlik açığını kabul etti ve düzeltti.
En son haberleri kaçırmayın Karanlık Okuma Gizli podcastIowa’nın Dallas County bölgesinde kalem testi işlerini yaptıkları için tutuklanan ve geceyi hapishanede geçirmek zorunda kalan iki siber güvenlik uzmanıyla konuşuyoruz. Şimdi dinle!