Apple’ın WorkflowKit’inde, kötü amaçlı uygulamaların macOS sistemlerindeki kısayolları ele geçirip değiştirmesine olanak tanıyan bir yarış durumu güvenlik açığı belirlendi.
CVE-2024-27821 olarak kataloglanan bu güvenlik açığı, macOS Sonoma’daki Kısayollar uygulamasının ayrılmaz bir parçası olan WorkflowKit çerçevesi içindeki kısayol çıkarma ve oluşturma süreçlerini etkiliyor.
macOS WorkflowKit Yarışı Güvenlik Açığı
Güvenlik açığı, imzalı kısayol dosyalarının çıkarılmasından sorumlu yöntemdeki bir yarış durumundan kaynaklanmaktadır. Yöntem -[WFShortcutPackageFile preformShortcutDataExtractionWithCompletion:] Kötü amaçlı uygulamalar tarafından kullanılabilecek bir kusur içerir.
Siber Güvenlik Yatırım Getirisini En Üst Düzeye Çıkarma: KOBİ ve MSP Liderleri için Uzman İpuçları – Ücretsiz Web Seminerine Katılın
Bu uygulamalar, geçerli bir imza kontrolü ihtiyacını atlayarak, içe aktarma işlemi sırasında kısayol dosyalarına müdahale edebilir. Bu istismar, çıkarılan dosyaların sonlandırılmadan önce değiştirilmesini içeriyor ve bu da bir saldırganın, kullanıcının izni olmadan kısayollara kötü amaçlı kod eklemesine olanak tanıyor.
Üstelik yöntemde başka bir yarış durumu daha keşfedildi generateSignedShortcutFileRepresentationWithPrivateKey:signingContext:error.
Bu kusur, imzalı kısayolların oluşturulması sırasında benzer müdahalelere ve değişikliklere izin verir. Saldırganlar, dizin yollarını değiştirerek ve sembolik bağlantılar kullanarak, imzalama işlemi sırasında meşru kısayolları değiştirilmiş sürümlerle değiştirebilir.
Bu güvenlik açığının sonuçları önemlidir. Kötü amaçlı uygulamalar arka planda sessizce çalışarak kullanıcılar tarafından paylaşılan veya içe aktarılan kısayolları engelleyebilir.
Bu, hassas kullanıcı verilerine yetkisiz erişime veya kısayollarda istenmeyen eylemlerin yürütülmesine yol açabilir. Güvenlik açığı, yazılım geliştirmede sağlam yol işleme ve doğrulama mekanizmalarının önemini vurgulamaktadır.
Apple, ek sanal alan kısıtlamaları uygulayarak ve yol doğrulama süreçlerini iyileştirerek macOS Sonoma 14.5’teki bu güvenlik açığını giderdi.
Bu yama, kısayol çıkarma ve oluşturma sırasında kullanılan geçici dizinlere yetkisiz erişimi önleyerek kötüye kullanım riskini etkili bir şekilde azaltır.
Bu güvenlik açığının keşfi ve raporlanması, Kandji’den güvenlik araştırmacıları Kirin (@Pwnrin), zbleet ve Csaba Fitzl (@theevilbit) tarafından gerçekleştirildi. Çabaları, yaygın olarak kullanılan yazılım çerçevelerindeki güvenlik kusurlarının belirlenmesi ve ele alınması konusunda devam eden dikkatli olma ihtiyacını vurgulamaktadır.
Apple bu sorunu derhal bir yama ile çözse de, potansiyel istismarlara karşı koruma sağlamak için kullanıcılara sistemlerini macOS Sonoma 14.5 veya sonraki bir sürüme güncellemeleri tavsiye ediliyor.
Geliştiriciler ve güvenlik uzmanları için bu vaka, gelecekteki yazılım sürümlerinde benzer güvenlik açıklarını önlemek için yarış koşullarını anlamanın ve kapsamlı güvenlik önlemlerini uygulamanın önemini vurguluyor.
SOC/DFIR Ekiplerinden misiniz? – ANY.RUN ile Kötü Amaçlı Yazılım Dosyalarını ve Bağlantılarını Analiz Edin -> Ücretsiz Deneyin