Microsoft’un “Aşil” olarak adlandırdığı hatayla (CVE-2022-42821) ilgili ayrıntılar arasında, araştırmacıların macOS’ta ince ayar yapılmasına izin veren Erişim Kontrol Listeleri (ACL) mekanizmasını kullanarak çalışan bir istismar oluşturabildikleri gerçeği yer alıyor. uygulamalar için izin verilmesi.
Popüler Hedef: İnceleme Uygulamaları için Apple Gatekeeper
Apple Gatekeeper, Mac aygıtlarında yalnızca “güvenilir uygulamaların”, yani geçerli bir yetkili tarafından imzalanan ve Apple tarafından onaylanan uygulamaların çalışmasını sağlamak için tasarlanmış bir güvenlik mekanizmasıdır. Yazılım Gatekeeper tarafından doğrulanamazsa kullanıcı, uygulamanın çalıştırılamayacağını açıklayan bir engelleme açılır penceresi alır.
Teorik olarak bu, kullanıcıların yanlışlıkla korsan sitelerden veya üçüncü taraf uygulama mağazalarından indirebilecekleri, yandan yüklenen kötü amaçlı uygulama tehdidini azaltır. Microsoft araştırmacıları, CVE-2022-22616, CVE-2022-32910, CVE- gibi daha önce istismar edilen güvenlik açıklarının gösterdiği gibi, sorun, kötü aktörlerin bu özellik için geçiş yolları bulmaya oldukça fazla zaman ayırmış olmasıdır. 2021-1810, CVE-2021-30657, CVE-2021-30853, CVE-2019-8656 ve CVE-2014-8826.
Ve şaşılacak bir şey yok: Microsoft araştırmacıları bu hafta yayınlanan bir danışma belgesinde “Bunun gibi Gatekeeper bypass’ları, kötü amaçlı yazılımlar ve diğer tehditler tarafından ilk erişim için bir vektör olarak kullanılabilir ve kötü niyetli kampanyaların ve macOS’a yönelik saldırıların başarı oranını artırmaya yardımcı olabilir” uyarısında bulundu. “Verilerimiz, sahte uygulamaların macOS’taki en iyi giriş vektörlerinden biri olmaya devam ettiğini gösteriyor, bu da Gatekeeper atlama tekniklerinin saldırganların saldırılarda avantaj sağlaması için çekici ve hatta gerekli bir yetenek olduğunu gösteriyor.”
Yeni Bir Gatekeeper Bypass’ı Ortaya Çıkarma
Microsoft araştırmacıları, CVE-2021-1810’u çevreleyen ayrıntıların sırtına binerek, ACL mekanizması aracılığıyla özel izin kuralları olan kötü amaçlı dosyaları ekleyerek yeni bir baypas oluşturmaya çalıştılar.
Apple, indirilen uygulamalar için bir karantina mekanizması kullanıyor: “Safari gibi bir tarayıcıdan uygulama indirirken, tarayıcı indirilen dosyaya özel bir genişletilmiş özellik atar. Bu öznitelik com.apple.quarantine olarak adlandırılır ve daha sonra kullanılır. Gatekeeper gibi politikaları uygulamak için.”
Ancak macOS’ta isteğe bağlı ACL’leri ayarlamak için kullanılan com.apple.acl.text adlı özel bir genişletilmiş özniteliği uygulamak için ek bir seçenek vardır.
Microsoft araştırmacıları, “Her ACL’nin, her bir müdürün neyi yapıp neyi yapamayacağını belirleyen bir veya daha fazla Erişim Denetim Girişi (ACE) vardır, tıpkı güvenlik duvarı kuralları gibi,” diye açıkladı Microsoft araştırmacıları. “Bu bilgilerle donatılmış olarak, indirilen dosyalara çok kısıtlayıcı ACL’ler eklemeye karar verdik. Bu ACL’ler, Safari’nin (veya başka herhangi bir programın) com.apple.quarantine özniteliği de dahil olmak üzere yeni genişletilmiş öznitelikler ayarlamasını yasaklıyor.”
Ve karantina özniteliği yerinde olmadan, Gatekeeper, güvenlik mekanizmasını tamamen atlamasına izin veren dosyayı kontrol etmesi için uyarılmaz.
En önemlisi, Microsoft araştırmacıları, Apple’ın Temmuz ayında devlet destekli casus yazılımların risk altındaki hedeflere bulaşmasını önlemek için kullanıma sunduğu Kilitleme özelliğinin Aşil saldırısını engelleyemediğini keşfetti.
“Apple’ın, gelişmiş bir siber saldırı tarafından kişisel olarak hedef alınabilecek yüksek riskli kullanıcılar için isteğe bağlı bir koruma özelliği olarak macOS Ventura’da sunulan Kilitleme Modunun, sıfır tıklamayla uzaktan kod yürütme açıklarını durdurmayı amaçladığını ve bu nedenle bunlara karşı savunma yapmadığını not ediyoruz. Aşil,” Microsoft’a göre.
Sorun, en son macOS sürümünde kullanıma sunulan düzeltmelerle birlikte Temmuz ayında Apple’a açıklandı. Kendilerini korumak için, Mac kullanıcılarının işletim sistemlerini mümkün olan en kısa sürede en son sürüme güncellemeleri önerilir.