Apple’ın macOS Monterey işletim sistemindeki, iOS ve iPadOS’taki birden çok güvenlik açığı için bu haftaki yazılım güncellemeleri, güvenlik araştırmacılarının ve tehdit aktörlerinin teknolojilerine artan ilgisinin en son göstergesi olarak hizmet ediyor.
Saldırganların bir çekirdek işletim sistemi güvenlik mekanizmasını atlamasına izin veren macOS’taki kusurlardan biri, ifşa edildikleri tarihte sıfır gün olan ikisi ve savunmasız cihazlarda çekirdek düzeyinde ayrıcalıklarla rastgele kod yürütülmesine izin veren birkaç kusur içeriyordu.
Apple Çarşamba günü piyasaya çıktı macOS Monterey 12.2, iOS 15.3 ve iPadOS 15.3 macOS’ta toplam 13, iOS ve iPadOS’ta 10 güvenlik açığını ele alan düzeltmelerle. Tüm hatalar, her işletim sistemi ortamına özgü değildi. Aslında, aynı hataların birçoğu hem macOS’u hem de Apple’ın mobil işletim sistemi teknolojilerini etkiledi.
Apple’ın bu hafta düzelttiği daha kritik kusurlar arasında şunlar vardı: CVE-2022-22583. Kusur, macOS’un birden çok sürümündeki bir izin sorununa bağlıydı ve temelde, bir sistemde kök erişimi olan saldırganlara, şirketin Sistem Bütünlüğü Koruması (SIP) mekanizmasını atlamanın bir yolunu verdi.
Apple, SIP’yi kötü amaçlı yazılım önleme ve genel güvenlik geliştirme mekanizması olarak 2015’te yayınladı. Sorunu Apple’a bildiren Perception Point CTO’su Shlomi Levin, saldırganların – kök erişimi olanlar bile – çekirdek sürücülerini yüklemek ve belirli dizinlere yazmak gibi şeyler yapmasını yasaklayarak çalıştığını söylüyor.
“Çoğu işletim sistemi, kök kullanıcıların hizmetleri yüklemesine ve sistemleri değiştirmesine olanak tanırken, MacOS, ayrıcalıkların SIP hizmetine emanet edildiği ‘yetki ayrımı kavramı’ olarak adlandırılan şeyi takip ediyor” diyor. “Bu keşfedilen güvenlik açığı, saldırganların ek SIP sınırını atlamasını sağlar.”
CVE-2022-22583, son aylarda bildirilen ikinci SIP atlama güvenlik açığıdır. Geçen Ekim, Microsoft araştırmacıları macOS’ta “döküntüsüz” olarak adlandırdıkları bir güvenlik açığı (CVE-2021-30892) keşfetti. Güvenlik açığı, temelde saldırganlara, kötü amaçlı komut dosyalarının yürütülmesine izin vermek için SIP’yi kandırmak için Apple imzalı bir paket kullanmanın bir yolunu verdi.
Yeni güvenlik açığına yol açan, Perception Point’in aşındırıcı olmayan kusuru araştırmasıydı.
Levin, “Bu güvenlik açığını kullanmak, esasen kişinin burnunun dibindeki bir şeyi değiştirmek gibidir” diyor. “SIP, yazılım yükleyebilir ve bunu yapmak için belirli dosyaları kullanabilir. Bu durumda, güvenlik açığı belirli bir güvenilir dosyayı kötü amaçlı bir dosyayla değiştirme olanağı sunar.”
Apple, sorunu çözmek için macOS Monterey 12.2’de geliştirilmiş bir doğrulama mekanizması uyguladığını söyledi. Şirket, kusuru şirkete bildirdikleri için biri Trend Micro’dan diğeri anonim bir kişi olmak üzere iki araştırmacıya daha kredi verdi.
Bu arada, Apple’ın bu hafta düzelttiği iki sıfır gün kusurundan (CVE-2022-22587) biri, bir cihazın çerçeve arabelleğiyle ilgili bir çekirdek uzantısı olan IOMobileFrameBuffer’ı içeriyordu. Apple, bellek bozulması hatasının saldırganların çekirdek düzeyinde rastgele kod çalıştırmasına izin verdiğini ve muhtemelen vahşi ortamda aktif olarak istismar edildiğini söyledi. Hata, macOS Monterey, iPhone 6 ve sonraki sürümleri, tüm iPad Pro modelleri ve diğer birçok Apple mobil cihazını etkiliyor.
Levin, “CVE-2022-22587, macOS çekirdeğini hedefliyor ve bundan ödün vermek, saldırgana kök ayrıcalıkları verebilir” diyor. “Ancak, SIP tam olarak bu tür bir istismar için devreye giriyor.”
Kusur, araştırmacıların yakın zamanda IOMobileFrameBuffer’da ortaya çıkardığı birkaç ciddi güvenlik açığından biridir. Diğer örnekler şunları içerir: CVE-2021-30883Apple’ın geçen Ekim ayında aktif yararlanma etkinliği sırasında yamaladığı sıfır günlük kod yürütme hatası ve CVE-2021-30807Apple’ın geçen Temmuz ayında düzelttiği.
macOS ve iOS için Safari WebKit Storage’daki (CVE-2022-22594) bir güvenlik açığı, bazı endişeleri çeken başka bir sorundu çünkü bu hafta yama kullanıma sunulmadan birkaç gün önce kusur herkes tarafından biliniyordu. Kusur, Apple’ın IndexDB API’sinde temel olarak web sitesi operatörlerinin bir kullanıcının tarama geçmişini izlemesine izin veren bir çapraz kaynaklı sorun olarak tanımladığı şeyden kaynaklanıyor.
Levin, “CVE-2022-22594, bir kullanıcının hangi web sitelerini ziyaret ettiğini izlemeye/keşfetmeye yardımcı olur” diyor. “Bu çok büyük bir gizlilik sorunu ama saldırganın kurbanın makinesini kontrol etmesine izin vermiyor.”
Toplamda, Apple’ın bu hafta yamaladığı macOS kusurlarından altısı, bazıları çekirdek düzeyinde olmak üzere rastgele kod yürütülmesine izin verdi.
Isıyı Açmak
En son işletim sistemi sürümlerindeki güvenlik güncellemeleri, Apple’ın 2022’deki ilk güncellemesidir ve araştırmacıların macOS ve iOS’u etkileyen çok sayıda önemli güvenlik açığı ve kötü amaçlı yazılım örneği bildirdiği bir yılı takip eder.
Bunlar, sıfır günlük rastgele kod yürütme kusurunu içerir (CVE-2021-30860) Apple’ın Eylül 2021’de yamaladığı ve kötü üne sahip Pegasus casus yazılımını iPhone’larda yayınlamak için kullandığı iOS ve macOS’ta. Başka bir örnek CVE-2021-30657, macOS Big Sur 11.3’te saldırganların Gatekeeper ve File Quarantine gibi Apple güvenlik mekanizmalarını atlayarak savunmasız sistemlerde Shlayer adlı kötü amaçlı yazılımı dağıtmasına olanak tanıyan bir mantık hatası. Geçen yılki diğer büyük güvenlik açıkları dahil CVE-2021-30713saldırganların Apple’ın Şeffaflık İzni ve Denetimi (TCC) çerçevesini atlamasına ve tam disk erişimi ve ekran kayıt izinleri almasına izin veren sıfır gün CVE-2021-30892veya “shrootless”, Microsoft’un keşfettiği ve saldırganların Apple’ın Sistem Bütünlüğü Koruması (SIP) özelliğini atlamasına izin veren bir kusur.
Güvenlik uzmanlarına göre, araştırmacıların Apple’ın teknolojilerinde – özellikle Gatekeeper, TCC ve SIP gibi güvenliği artırmak için açıkça tasarlanmış teknolojilerde – delikler açmadaki göreceli başarısı, işletmelerin Mac ve iOS ortamlarına dikkat etmeye başlama nedenidir.
Vulcan Cyber’de mühendis olan Mike Parkin, “Her işletim sistemi güvenlik açıklarından muzdariptir ve MacOS bir istisna değildir” diyor. “Windows, konuşlandırılmış kullanıcılar açısından en büyük köpektir, bu nedenle tarihsel olarak en büyük hedef onlar olmuştur. Ancak Apple aynı zamanda büyük bir oyuncu ve saldırganlar dikkatlerini potansiyel hedef olarak Apple ürünlerine çeviriyorlar.”
Bunun bir göstergesi, geçen yıl ortaya çıkan ve Apple teknolojilerini ve bu teknolojilerdeki güvenlik açıklarını hedef alan gelişmiş yeni kötü amaçlı yazılım örneklerinin toplanmasıydı.
Yıllardır Mac kullanıcıları, bilgisayarlarının Windows makinelerini avlayan siber saldırılara karşı bağışık olduğu izlenimine kapıldılar. diyor Levin. Mac’in kurumsal ortamda ortaya çıkışı ve bir iş cihazı olarak kullanımının artması siber suçluların dikkatini çekti.
Levin, “Bu, günümüzün saldırganları için geçerli bir hedef olmaya devam ederken, macOS’a yapılan artan araştırmaları teşvik etti” diyor. Aynı zamanda, “Güvenlik açısından, Apple güvenliğini güçlendirdi ve SIP, diğer işletim sistemlerinde bulunmayan yenilikçi bir ayırma politikası olarak bunun harika bir örneğidir.”