Apple, imzasız ve noter tasdikli olmayan komut dosyası tabanlı uygulamaların, tam yama uygulanmış sistemlerde bile tüm macOS güvenlik koruma mekanizmalarını atlamak için yararlanabileceği bir macOS güvenlik açığını giderdi.
eğer atlatırlarsa otomatik noter tasdik güvenlik kontrolleri (kötü amaçlı bileşenleri ve kod imzalama sorunlarını tarar), uygulamaların başlatılmasına izin verilir. kapı bekçisiindirilen uygulamaların noter tasdikli ve geliştirici imzalı olup olmadığını doğrulamak için tasarlanmış bir macOS güvenlik özelliği.
Bir zamanlar baypas kusurunu hedefleyen kötü amaçlı komut dosyası tabanlı uygulamalar (CVE-2021-30853) bir hedefin sisteminde başlatılırsa, saldırganlar tarafından ikinci aşama kötü amaçlı yükleri indirmek ve dağıtmak için kullanılabilirler.
Apple, bu güvenlik açığını macOS 11.6 Eylül 2021’de yayınlanan ve geliştirilmiş kontroller ekleyen bir güvenlik güncellemesi aracılığıyla.
Bir shebang ile kapı bekçisi baypas
CVE-2021-30853 Gatekeeper atlama hatası Box Offensive Security Engineer tarafından keşfedildi ve Apple’a bildirildi Gordon Uzun.
İnternetten indirilen özel hazırlanmış komut dosyası tabanlı uygulamaların, otomatik olarak karantinaya alınsa bile bir uyarı göstermeden başlatılacağını buldu.
“Özel hazırlanmış” kısım, shebang (!#) karakteriyle başlayan ancak satırın geri kalanını boş bırakarak, Unix kabuğuna komut dosyasını bir kabuk komut yorumlayıcısı belirtmeden çalıştırmasını söyleyen bir komut dosyası kullanan bir uygulama oluşturmayı gerektirir.
Güvenlik kontrollerini (imzalama ve noter onayı) gerçekleştirmek için AppleSystemPolicy çekirdek uzantısı tarafından otomatik olarak çağrılan syspolicyd arka plan programı artık bir yorumlayıcı belirtmeden bir komut dosyası başlatılırken denetim için tetiklenmediğinden, bu bir Gatekeeper atlamasına yol açar.
Temel olarak, betik bir shebang (!#) kullanıyorsa ancak açıkça bir yorumlayıcı belirtmediyse, Gatekeeper güvenlik kontrollerini atlayacaktır.
“Syspolicyd arka plan programı, çeşitli ilke denetimleri gerçekleştirecek ve nihayetinde imzasız veya noter onaylı olmayanlar gibi güvenilmeyen uygulamaların yürütülmesini engelleyecektir.” açıkladı güvenlik araştırmacısı Patrick Wardle.
“Fakat, ya AppleSystemPolicy kext, syspolicyd arka plan programının çağrılması gerekmediğine karar verirse? O zaman işleme izin verilir! Ve bu karar yanlış verilirse, o zaman, güzel bir Dosya Karantinası, Kapı Bekçisi ve noter onayınız olur. kalp ameliyati.”
Wardle tarafından açıklandığı gibi, tehdit aktörleri, iyi huylu görünümlü bir PDF belgesi olarak da kamufle edilebilen kötü amaçlı bir uygulamayı açmaları için hedeflerini kandırarak bu kusurdan yararlanabilir.
Bu tür kötü amaçlı yükler, zehirli arama sonuçları, sahte güncellemeler ve korsan yazılımlara bağlanan sitelerden indirilen truva atı uygulamaları dahil olmak üzere birçok yöntemle hedef sistemlerine iletilebilir.
Kötü amaçlı yazılım tarafından kullanılan benzer hatalar
Bu, Apple tarafından düzeltilen ve tehdit aktörlerinin tamamen yamalı Mac’lerde Gatekeeper ve File Quarantine gibi işletim sistemi güvenlik mekanizmalarını tamamen atlatmasına olanak tanıyan ilk macOS hatası değil.
Nisan ayında Apple, bir Shlayer kötü amaçlı yazılım operatörleri tarafından vahşi doğada istismar edilen sıfır gün güvenlik açığı macOS otomatik güvenlik kontrollerini atlamak ve güvenliği ihlal edilmiş Mac’lerde ek yükleri dağıtmak için.
Shlayer tehdit aktörleri, sıfır gün hatasını kullanan imzasız ve noter tasdiksiz kötü amaçlı yazılımlarla macOS kullanıcılarını hedef almaya başladı. CVE-2021-30657) Ocak 2021’den itibaren, Jamf Protect tespit ekibi keşfetti.
Microsoft ayrıca bir macOS güvenlik açığı keşfetti Ekim ayında Shrootless olarak adlandırılan ve şu şekilde izlenen CVE-2021-30892), Sistem Bütünlüğü Korumasını (SIP) atlamak ve keyfi işlemler gerçekleştirmek, root ayrıcalıklarını yükseltmek ve güvenliği ihlal edilmiş cihazlara rootkit yüklemek için kullanılabilir.
Apple, “Kötü amaçlı bir uygulama dosya sisteminin korunan kısımlarını değiştirebilir” dedi. güvenlik danışmanlığı Shrootless hatasını yamaladıktan sonra yayınlandı.