Siber güvenlik araştırmacıları, macOS’te, tehdit aktörlerinin yerel güvenlik çözümlerini tamamen atlamasına ve imzasız ve noter onaylı olmayan bir uygulamayı güvenlik istemleri görüntülemeden yürütmesine olanak tanıyan yeni bir güvenlik açığı keşfetti.
Bir haberin duyurulması Blog yazısı (yeni sekmede açılır)Jamf Threat Labs araştırmacıları, WinRAR ve diğer arşivleme uygulamalarına benzer yerel macOS arşivleme uygulaması olan macOS Arşiv Yardımcı Programındaki kusuru tespit ettiklerini söyledi.
Bu uygulamada bulunan kusuru kötüye kullanmak, tehdit aktörlerinin Gatekeeper’ı ve diğer tüm güvenlik kontrollerini atlatmasına olanak tanır.
Klasörleri karantinaya alma
CVE-2022-32910 olarak izlenen kusuru açıklayan Jamf, macOS’un internetten indirilen arşivden çıkarma dosyalarını nasıl ele aldığına odaklandığını söyledi.
Bir Mac kullanıcısı bir arşiv indirdiğinde, işletim sistemine uzak bir konumdan alındığını ve analiz edilmesi gerektiğini bildiren genişletilmiş bir öznitelik başlığı com.apple.quarantine alacaktır. Ayıklanan her şey aynı karantina özniteliğini de alacaktır. Eh – neredeyse her şey. Bazı durumlarda, Arşiv Yardımcı Programı, karışıklığı önlemek için ek klasörler oluşturur:
“Uygulama paketleri söz konusu olduğunda – Gatekeeper yalnızca uygulama dizininin kendisinde bir karantina özniteliği olup olmadığını önemser ve uygulama paketi içindeki özyinelemeli dosyaları dikkate almaz. Bu nedenle, karantinaya alınmayan klasörümüzün bir uygulama olmasını sağlayarak Gatekeeper’ı atlayabiliriz” diye açıkladı araştırmacılar.
“Belirtildiği gibi, arşivlenmemiş dosyalarımızı içeren klasör adı kullanıcı tarafından kontrol edilir çünkü Archive Utility bu klasörü uzantı olmadan arşiv adına göre oluşturur. Bu nedenle, arşivimize test.app.aar gibi bir ad verebiliriz, böylece arşivden çıkarıldığında test.app adında bir klasör adı olur. Bu uygulamanın içinde, yürütülebilir dosyayı tutan beklenen bir uygulama paketi olacak.”
Kusurdan yararlanılabilmesi için arşiv adının bir .app uzantısı içermesi, arşivlenmekte olan hedef dizinin kökünde en az iki dosya veya klasör olması gerekir, çünkü bu geçici dizinin otomatik olarak yeniden adlandırılmasını tetikler ve yalnızca uygulama içindeki dosya ve klasörler, test.app dizini hariç olmak üzere arşivlenmelidir.
Jamf, Apple’a açıkladıktan sonra şirketin sorunu Temmuz 2022’de yamaladığını, bu nedenle kullanıcıların mümkün olan en kısa sürede güncelleme yapmalarının tavsiye edildiğini söylüyor.