Microsoft, bir saldırganın sanal alan kısıtlamalarını atlamasına ve sistemde kod çalıştırmasına yardımcı olabilecek macOS’taki bir güvenlik açığı için yararlanma kodunu yayınladı.
Şirket, şu anda olarak tanımlanan güvenlik sorunu için teknik detayları yayınladı. CVE-2022-26706ve Word belgelerindeki kötü amaçlı makro kodlarının makinede komut yürütmesine izin vermek için macOS Uygulama Korumalı Alanı kurallarından nasıl kaçınılabileceğini açıkladı.
Kötü amaçlı yazılım dağıtmak için Office belgelerindeki makroları kötüye kullanmak, Windows sistemlerinden ödün vermek için uzun süredir etkili ve popüler bir teknik olmuştur.
Microsoft, bugün bir raporda uyarıyor, uygun güvenlik güncellemeleri olmayan macOS makinelerinde de aynısı yapılabilir.
“App Sandbox’ın uygulamalar üzerindeki kurallarının getirdiği güvenlik kısıtlamalarına rağmen, saldırganların söz konusu kuralları atlaması ve kötü niyetli kodların sanal alandan “kaçmasına” ve etkilenen bir cihazda keyfi komutlar yürütmesine izin vermesi mümkündür” – Microsoft
Microsoft 365 Defender Araştırma Ekibinden Jonathan Bar Or, güvenlik açığının macOS’ta Microsoft Office belgelerinde kötü amaçlı makroları çalıştırma ve algılama yöntemlerini araştırırken keşfedildiğini açıklıyor.
Geriye dönük uyumluluğu sağlamak için Microsoft Word, uygulamanın sanal alan kurallarında tanımlanan “~$” önekiyle gelen dosyaları okuyabilir ve yazabilir.
kaynak: Microsoft
Bir tweet’te koddan yararlanma
Eski raporları inceledikten sonra [1, 2] macOS sanal alanından kaçma konusunda araştırmacılar, bir açık –stdin Yukarıda belirtilen önek ile özel bir Python dosyasındaki komut, macOS’ta App Sandbox’tan kaçmaya izin vererek, potansiyel olarak sistemden ödün verilmesine yol açar.
Araştırmacılar, aşağıdakileri kullanan bir kavram kanıtı (PoC) buldular. -stdin için seçenek açık Atlamak için bir Python dosyasında komut “com.apple.karantina” genişletilmiş öznitelik kısıtlaması
Demo yararlanma kodu, rastgele komutlar içeren ve adında Word için özel önek bulunan bir Python dosyasını bırakmak kadar basittir.
Kullanmak açık -stdin komutu, standart girdi olarak özel hazırlanmış dosyayla Python uygulamasını başlatır.
Jonathan Or Bar, “Python kodumuzu mutlu bir şekilde çalıştırıyor ve bu bir alt başlatma süreci olduğundan, Word’ün korumalı alan kurallarına bağlı değil” diye açıklıyor.
kaynak: Microsoft
Araştırmacılar, yukarıdaki istismar kodunu bir tweet’e sığacak kadar sıkıştırmayı bile başardılar.
kaynak: Microsoft
Microsoft, güvenlik açığını geçen yıl Ekim ayında Apple’a bildirdi ve Mayıs 2022’deki macOS güvenlik güncellemeleriyle bir düzeltme yapıldı (Big Sur 11.6.6)
Sorunu sorumlu bir şekilde ifşa etmenin kredisi başka bir güvenlik araştırmacısıyla paylaşılır, Arsenii Kostrominkim bağımsız olarak buldu.