Microsoft, tehdit aktörlerinin, kullanıcıların korunan verilerine erişmek için Şeffaflık, İzin ve Kontrol (TCC) teknolojisini atlamak için bir macOS güvenlik açığı kullanabileceğini söylüyor.
Microsoft 365 Defender Araştırma Ekibi, adı geçen güvenlik açığını bildirdi powerdir (olarak izlenir CVE-2021-30970) Microsoft Güvenlik Açığı Araştırması (MSVR) aracılığıyla 15 Temmuz 2021’de Apple’a.
TCC, macOS kullanıcılarının sistemlerinde yüklü uygulamalar ve kameralar ve mikrofonlar da dahil olmak üzere Mac’lerine bağlı cihazlar için gizlilik ayarlarını yapılandırmasına izin vererek uygulamaların hassas kullanıcı verilerine erişmesini engellemek için tasarlanmış bir güvenlik teknolojisidir.
Apple, TCC erişimini yalnızca tam disk erişimine sahip uygulamalarla kısıtlamış ve yetkisiz kod yürütülmesini otomatik olarak engellemek için özellikler ayarlamış olsa da, Microsoft güvenlik araştırmacıları, saldırganların, korunan kullanıcı bilgilerine erişmelerine izin verecek ikinci, özel hazırlanmış bir TCC veritabanı yerleştirebileceğini keşfetti.
“Bir hedef kullanıcının ana dizinini programlı olarak değiştirmenin ve uygulama isteklerinin onay geçmişini depolayan sahte bir TCC veritabanı yerleştirmenin mümkün olduğunu keşfettik.” söz konusu Jonathan Bar Or, Microsoft’ta baş güvenlik araştırmacısı.
“Yamalı olmayan sistemlerde bu güvenlik açığından yararlanılırsa, bu güvenlik açığı kötü niyetli bir aktörün, kullanıcının korunan kişisel verilerine dayalı olarak potansiyel olarak bir saldırı düzenlemesine izin verebilir.
“Örneğin, saldırgan cihazda yüklü bir uygulamayı ele geçirebilir—
Apple ayrıca 2020’den beri bildirilen diğer TCC atlamalarını da yamaladı:
- Zaman Makinesi binekleri (CVE-2020-9771): macOS, adı verilen yerleşik bir yedekleme ve geri yükleme çözümü sunar. Zaman makinesi. Time Machine yedeklemelerinin (apfs_mount yardımcı programı kullanılarak) “noowners” bayrağıyla yüklenebileceği keşfedildi. Bu yedeklemeler TCC.db dosyalarını içerdiğinden, bir saldırgan bu yedekleri bağlayabilir ve tam disk erişimine sahip olmadan aygıtın TCC ilkesini belirleyebilir.
- Çevre değişkeni zehirlenmesi (CVE-2020-9934): Kullanıcının tccd’sinin $HOME/Library/Application Support/com.apple.TCC/TCC.db dosyasını genişleterek TCC.db dosyasına giden yolu oluşturabileceği keşfedildi. Kullanıcı $HOME ortam değişkenini değiştirebildiğinden (tccd’ye launchd ile tanıtıldığı gibi), bir saldırgan seçilen bir TCC.db dosyasını rastgele bir yola yerleştirebilir, $HOME ortam değişkenini zehirleyebilir ve bunun yerine TCC.db’nin bu dosyayı tüketmesini sağlayabilir. .
- Paket sonuç sorunu (CVE-2021-30713): İlk olarak Jamf tarafından açıklandı XCSSET kötü amaçlı yazılım ailesiyle ilgili bir blog gönderisinde, bu hata, macOS’un uygulama paketi bilgilerini nasıl çıkardığını kötüye kullandı. Örneğin, bir saldırganın yaygın olarak mikrofon erişimine sahip belirli bir uygulamayı bildiğini varsayalım. Bu durumda, uygulama kodlarını hedef uygulamanın paketine yerleştirebilir ve TCC özelliklerini “devralabilir”.
Apple, geçen ay 13 Aralık 2021’de yayınlanan güvenlik güncellemelerindeki güvenlik açığını düzeltti. Şirket, “Kötü amaçlı bir uygulama Gizlilik tercihlerini atlayabilir” açıklamasında bulundu. güvenlik danışmanlığı.
Apple, gelişmiş durum yönetimi ile powerdir güvenlik açığı hatasının arkasındaki mantık sorununu ele aldı.
Jonathan Bar Or, “Bu araştırma sırasında, ilk sürüm artık en son macOS sürümü Monterey’de çalışmadığı için kavram kanıtı (POC) açığımızı güncellemek zorunda kaldık” dedi.
“Bu, macOS veya diğer işletim sistemleri ve uygulamaları her sürümde daha sağlam hale gelse bile, Apple gibi yazılım satıcılarının, güvenlik araştırmacılarının ve daha geniş güvenlik topluluğunun, saldırganların yararlanabilmesi için güvenlik açıklarını belirlemek ve düzeltmek için sürekli olarak birlikte çalışması gerektiğini gösteriyor. onlara.”
Microsoft daha önce bir Shrootless adlı güvenlik açığı bu, bir saldırganın Sistem Bütünlüğü Korumasını (SIP) atlamasına ve rastgele işlemler gerçekleştirmesine, kök ayrıcalıklarını yükseltmesine ve güvenlik açığı bulunan cihazlara kök kullanıcı takımları yüklemesine olanak tanır.
Şirketin araştırmacıları da keşfetti macOS WizardUpdate kötü amaçlı yazılımının yeni çeşitleri (aka UpdateAgent veya Vigram), yeni kaçınma ve ısrar taktikleriyle güncellendi.
Geçen yıl, Haziran ayında Redmond açıkladı bazı NETGEAR yönlendirici modellerinde kritik ürün yazılımı hataları bilgisayar korsanlarının kurumsal ağlarda yanal olarak ihlal etmek ve hareket etmek için kullanabileceği.