Microsoft, macOS sanal alan kaçış güvenlik açığı için PoC istismarını yayınladı


Microsoft, macOS korumalı alan kaçış hatası için tweet boyutunda bir istismar yayınladı

Microsoft, bir saldırganın sanal alan kısıtlamalarını atlamasına ve sistemde kod çalıştırmasına yardımcı olabilecek macOS’taki bir güvenlik açığı için yararlanma kodunu yayınladı.

Şirket, şu anda olarak tanımlanan güvenlik sorunu için teknik detayları yayınladı. CVE-2022-26706ve Word belgelerindeki kötü amaçlı makro kodlarının makinede komut yürütmesine izin vermek için macOS Uygulama Korumalı Alanı kurallarından nasıl kaçınılabileceğini açıkladı.

Kötü amaçlı yazılım dağıtmak için Office belgelerindeki makroları kötüye kullanmak, Windows sistemlerinden ödün vermek için uzun süredir etkili ve popüler bir teknik olmuştur.

Microsoft, bugün bir raporda uyarıyor, uygun güvenlik güncellemeleri olmayan macOS makinelerinde de aynısı yapılabilir.

“App Sandbox’ın uygulamalar üzerindeki kurallarının getirdiği güvenlik kısıtlamalarına rağmen, saldırganların söz konusu kuralları atlaması ve kötü niyetli kodların sanal alandan “kaçmasına” ve etkilenen bir cihazda keyfi komutlar yürütmesine izin vermesi mümkündür” – Microsoft

Microsoft 365 Defender Araştırma Ekibinden Jonathan Bar Or, güvenlik açığının macOS’ta Microsoft Office belgelerinde kötü amaçlı makroları çalıştırma ve algılama yöntemlerini araştırırken keşfedildiğini açıklıyor.

Geriye dönük uyumluluğu sağlamak için Microsoft Word, uygulamanın sanal alan kurallarında tanımlanan “~$” önekiyle gelen dosyaları okuyabilir ve yazabilir.

MacOS'ta Microsoft Word için korumalı alan kuralı
MacOS’ta Microsoft Word için korumalı alan kuralı
kaynak: Microsoft

Bir tweet’te koddan yararlanma

Eski raporları inceledikten sonra [12] macOS sanal alanından kaçma konusunda araştırmacılar, bir açık –stdin Yukarıda belirtilen önek ile özel bir Python dosyasındaki komut, macOS’ta App Sandbox’tan kaçmaya izin vererek, potansiyel olarak sistemden ödün verilmesine yol açar.

Araştırmacılar, aşağıdakileri kullanan bir kavram kanıtı (PoC) buldular. -stdin için seçenek açık Atlamak için bir Python dosyasında komut “com.apple.karantina” genişletilmiş öznitelik kısıtlaması

Demo yararlanma kodu, rastgele komutlar içeren ve adında Word için özel önek bulunan bir Python dosyasını bırakmak kadar basittir.

Kullanmak açık -stdin komutu, standart girdi olarak özel hazırlanmış dosyayla Python uygulamasını başlatır.

Jonathan Or Bar, “Python kodumuzu mutlu bir şekilde çalıştırıyor ve bu bir alt başlatma süreci olduğundan, Word’ün korumalı alan kurallarına bağlı değil” diye açıklıyor.

Microsoft'un macOS sanal alanından kaçmak için istismarı
macOS korumalı alan PoC kaçışı
kaynak: Microsoft

Araştırmacılar, yukarıdaki istismar kodunu bir tweet’e sığacak kadar sıkıştırmayı bile başardılar.

macOS korumalı alanından kaçmak için tweet boyutunda istismar
macOS korumalı alan kaçış PoC’nin tweet boyutu sürümü
kaynak: Microsoft

Microsoft, güvenlik açığını geçen yıl Ekim ayında Apple’a bildirdi ve Mayıs 2022’deki macOS güvenlik güncellemeleriyle bir düzeltme yapıldı (Big Sur 11.6.6)

Sorunu sorumlu bir şekilde ifşa etmenin kredisi başka bir güvenlik araştırmacısıyla paylaşılır, Arsenii Kostrominkim bağımsız olarak buldu.





Source link