.webp?w=696&resize=696,0&ssl=1 "Yeni")
MacOS’ta kritik bir güvenlik açığı, saldırganların yanlış yapılandırılmış arka planon hizmetleri yoluyla kök erişimine olan ayrıcalıkları artırmasına olanak tanır.
“Daemon Ex Plist” olarak adlandırılan güvenlik açığı, MacOS’un Hizmet Mülk Listesi (PLIST) dosyalarını nasıl ele aldığı ve birden fazla popüler VPN uygulamasını ve diğer yazılımı etkilediği bulunmuştur.
Key Takeaways
1. macOS daemons left behind in /Library/LaunchDaemons/ with writable paths.
2. Impacts numerous VPN clients and other apps
3. Install privileged helper binaries and clean up daemon plist entries.
MacOS kök imtiyazının artması
Güvenlik açığı, kök ayrıcalıklarıyla çalışan MacOS Daemon hizmetlerinin yanlış yapılandırılmasından kaynaklanmaktadır.
Uygulamalar yüklendiğinde, yürütülebilir dosyalara giden yol da dahil olmak üzere hizmet yapılandırmalarını tanımlayan/kütüphane/lansmandaemons/içinde PLIST dosyaları oluştururlar.
Kritik kusur, bu PLIST dosyaları normal kullanıcıların erişebileceği veya değiştirebileceği yürütülebilir yollara başvurduğunda ortaya çıkar. Uygulamalar kaldırıldığında sorundan yararlanabilir, ancak PLIST dosyalarını geride bırakır.
PT Swarm, “Geliştirici PLIST dosyalarını/kütüphane/LaunchDaemons/’dan manuel olarak kaldırmazsa, bu gözetimden yararlanabiliriz” diyor PT Swarm.
Sömürü süreci, terk edilmiş PLIST dosyasında belirtilen yolda kötü amaçlı bir yürütülebilir ürün oluşturulmayı içerir. Örneğin, tipik bir savunmasız eki şunları içerebilir:
Saldırganlar daha sonra şu komutları kullanarak kötü amaçlı kodu derleyebilir ve dağıtabilir:
Etkilenen uygulamalar
Güvenlik açığı, çok sayıda popüler uygulamada doğrulanmıştır, VPN yazılımı sistem düzeyinde erişim ihtiyaçları nedeniyle özellikle duyarlıdır.
Etkilenen uygulamalar arasında Mozilla VPN (v2.28.0), Tunnelblick (7.1beta01 Build 6220), Pritunl (1.3.4220.57), Cloudflare Warp, ExpressVPN, Amnezia VPN (4.8.6.0), Mullvad VPN (2025.7) ve Mullvad VPN (2025.7) ve Red Grandion (3.5.7).
VPN uygulamalarının ötesinde, OneDrive ve Logitech G hub dahil olmak üzere diğer yazılım kategorileri de savunmasızdır.
Araştırmacılar, “diğer birkaç satıcının da bu konuya karşı savunmasız olduğunu ve henüz bir yama yayınlamadığını” belirtti.
Bu güvenlik açığını gidermek için geliştiriciler, yazma erişimi için kök ayrıcalıkları gerektiren bir dizin olan Daemon yürütülebilir dosyaları/kütüphane/ayrıcalıklıHelpertools/adresine taşımalıdır. Bu, normal kullanıcıların bu konumlarda kötü amaçlı dosyalar oluşturmasını önler.
Kullanıcılar/Library/LaunchDaemons/komutunu kullanarak dosyaları inceleyerek potansiyel olarak savunmasız hizmetleri kontrol edebilir:
Güvenlik açığı, uygulama kaldırma sırasında uygun temizliğin önemini vurgular ve yüksek ayrıcalıklarla çalışan sistem hizmetleri için güvenli yol yapılandırması.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi birini deneyin. Şimdi