Apple’ın Kısayollar uygulamasının temelini oluşturan macOS WorkflowKit’te kritik bir güvenlik açığı ortaya çıktı.
Bu güvenlik açığı, kötü amaçlı uygulamaların kullanıcı tarafından içe aktarılan kısayollara müdahale etmesine ve bunları değiştirmesine olanak tanır.
CVE-2024-27821 olarak tanımlanan WorkflowKit’teki bu yarış durumu ciddi bir güvenlik riski oluşturuyor ve potansiyel olarak saldırganların uygun tespit olmadan kısayol dosyalarında değişiklik yapmasına olanak tanıyor.
macOS WorkflowKit Yarışı Güvenlik Açığı
Sorun yöntemdeki yarış durumundan kaynaklanıyor -[WFShortcutPackageFile preformShortcutDataExtractionWithCompletion:]imzalı kısayol dosyalarının çıkarılmasından sorumludur.
Siber Güvenlik Yatırım Getirisini En Üst Düzeye Çıkarma: KOBİ ve MSP Liderleri için Uzman İpuçları – Ücretsiz Web Seminerine Katılın
Bu yöntem, imzasız kısayol dosyalarını ayıklamak için Apple Şifrelenmiş Arşivleri (AEA) işler (Shortcut.wflow).
Ancak yürütme sırasında, kötü amaçlı bir uygulamanın ayıklanan dosyaları veya işlemde kullanılan geçici dizini değiştirebileceği kritik bir pencere bulunur.
Kısayollar, orijinalliği sağlamak için genellikle içe aktarılan kısayolların imzasını doğrular. Ancak CVE-2024-27821, yarış durumunu istismar ederek imzasız kısayolların içe aktarılmasına izin vererek bu korumayı aşıyor.
Bu, saldırganların meşru kısayolları kötü amaçlı kısayollarla değiştirmesine, potansiyel olarak kullanıcı verilerini tehlikeye atmasına veya yetkisiz eylemler gerçekleştirmesine kapıyı açar.
Araştırmacılar, WorkflowKit tarafından kullanılan geçici dizinin yeterli korumaya sahip olmadığını ve korumalı alan dışındaki süreçlerin içeriğini değiştirmesine izin verdiğini belirtti.
Bu gözetim, saldırganların çıkarma işleminin ortasında dosyaları değiştirmesine ve süreci etkili bir şekilde ele geçirmesine olanak tanır.
Bu istismar, çıkarma işlemi sırasında sembolik bağlantıların değiştirilmesiyle tetiklenebilir. Özellikle saldırganlar çıkarma akışını yeniden yönlendirebilir (AAExtractArchiveOutputStreamOpen) işlem başlamadan önce ve sonra sembolik bağlantıları değiştirerek seçtikleri bir dizine.
Bu hile, özellikle çıkarılması daha uzun süren daha büyük kısayollar için, istismarın güvenilirliğini önemli ölçüde artırır. Kötü amaçlı kısayol oluşturulduktan sonra imza doğrulamasını atlar ve herhangi bir alarm vermeden Kısayollar tarafından içe aktarılır.
Bu, veri hırsızlığı, cihazın yeniden yapılandırılması veya yetkisiz ağ istekleri gibi zararlı iş akışlarının yürütülmesine yol açabilir.
Güvenlik açığı kısayol çıkarmayla sınırlı değil. İmzalı kısayol dosyalarını oluşturmak için kullanılan yöntemde de benzer bir yarış durumu belirlendi; bu durum, sistemsel sorunlara işaret ediyor. WFShortcutPackageFile WorkflowKit sınıfı.
Bu bulgular, Apple’ın geçici dosyaların işlenmesini güçlendirmesi ve daha sıkı doğrulama mekanizmaları uygulaması ihtiyacını vurguluyor.
Apple henüz CVE-2024-27821 için bir yama yayınlamamış olsa da kullanıcıların bilinmeyen kaynaklardan kısayolları içe aktarmaktan kaçınmaları tavsiye ediliyor.
Kısayollar ile çalışan geliştiriciler de dikkatli davranmalı ve Apple’ın bu güvenlik açığına yönelik güncellemelerini takip etmelidir.
SOC/DFIR Ekiplerinden misiniz? – ANY.RUN ile Kötü Amaçlı Yazılım Dosyalarını ve Bağlantılarını Analiz Edin -> Ücretsiz Deneyin