MacOS TCC Bypass Güvenlik Açığı İçin PoC Exploit Kodu Yayımlandı

   Ocak 9, 2025  Posted in CyberSecurityNews


MacOS TCC Bypass Güvenlik Açığı İçin PoC Exploit Kodu Yayımlandı

MacOS’ta CVE-2024-54527 olarak tanımlanan kritik bir güvenlik açığına yönelik bir kavram kanıtlama (PoC) yararlanma kodu açıklandı.

Bu güvenlik açığı, saldırganların Şeffaflık, Rıza ve Kontrol (TCC) koruma mekanizmasını atlamasına ve hassas kullanıcı verilerine yetkisiz erişim sağlama potansiyeline sahip olmasına olanak tanır.

Sonoma 14.0’dan önceki macOS sürümlerini etkileyen güvenlik açığı, /System/Library/Frameworks/MediaLibrary.framework/Versions/A/XPCServices/com.apple.MediaLibraryService.xpc adresinde bulunan XPC hizmetinde bulunmaktadır. Bu hizmet, “com.apple.private.tcc.manager” ve “com.apple.private.tcc.allow” dahil olmak üzere güçlü TCC yetkilerine sahiptir.

Kullanım Ayrıntıları

Araştırmacıya göre bu istismar, savunmasız XPC hizmetinin Sertleştirilmiş Çalışma Zamanı veya Kitaplık Doğrulaması ile imzalanmamış olmasından yararlanıyor. Bir saldırgan bundan şu şekilde yararlanabilir:

  1. Kullanıcının Kütüphane klasörüne kötü amaçlı bir eklenti yerleştirmek
  2. Eklentiyi yüklemek için XPC hizmetini tetikleme
  3. Korumayı aşmak için hizmetin TCC yetkilerini kazanma

Güvenlik açığını keşfeden araştırmacı, sorunun ciddiyetini gösteren yararlanma kodunu yükledi.

Bu TCC bypass’ı, kötü niyetli aktörlerin şunları yapmasına olanak tanıyabilir:

  • Kullanıcı fotoğraflarına, kişilere ve diğer hassas verilere erişin
  • TCC ayarlarını doğrudan değiştirin
  • Sistemdeki ayrıcalıkların potansiyel olarak yükseltilmesi

Apple, macOS Sonoma 14.0 ve sonraki sürümlerinde bu güvenlik açığını giderdi. Düzeltme, AppleMobileFileIntegrity.kext’te “enforceTCCEntitlementHardening” adı verilen yeni bir güvenlik azaltma işlemini içeriyor.

Bu hafifletme, TCC ile ilgili belirli yetkilere sahip süreçler üzerinde daha sıkı kontroller uygular:

  • “com.apple.private.tcc.allow” veya “com.apple.private.tcc.manager” yetkilerine sahip işlemler artık çalışma zamanında kitaplık doğrulamasıyla zorla güçlendiriliyor
  • Güvenlik açığı bulunan XPC hizmeti artık Sertleştirilmiş Çalışma Zamanı ile imzalandı
  • Sürüm düşürme saldırılarını önlemek için ek bir yetki olan “com.apple.private.amfi.version-restriction” uygulandı

Öneriler

Kullanıcılara ve yöneticilere aşağıdakileri şiddetle tavsiye ederiz:

  1. MacOS’un en son sürümüne hemen güncelleyin
  2. İmzasız veya güvenilmeyen uygulamaları çalıştırırken dikkatli olun
  3. Herhangi bir şüpheli davranışa karşı sistem etkinliğini izleyin

Apple bu özel sorunu düzeltirken, sürekli güvenlik güncellemelerinin önemini ve güçlü sistem hizmetleriyle ilişkili potansiyel riskleri vurguluyor.

Bu güvenlik açığının ayrıntıları artık kamuya açık olduğundan, kullanıcıların bu ve benzeri güvenlik açıklarına dayalı potansiyel istismarlara karşı dikkatli olmaları ve sistemlerini güncel tutmaları büyük önem taşıyor.

ANY.RUN Threat Intelligence Lookup - Extract Millions of IOC's for Interactive Malware Analysis: Try for Free



Source link