Apple’ın Gatekeeper mekanizması için macOS’ta bulunan bir baypas güvenlik açığı, Kilitleme modunun etkinleştirilmiş olup olmadığına bakılmaksızın siber saldırganların hedef Mac’lerde kötü amaçlı uygulamaları yürütmesine izin verebilir.
Hatayla ilgili ayrıntılar arasında (CVE-2022-42821Microsoft’un “Aşil” olarak adlandırdığı, araştırmacıların macOS’ta uygulamalar için ince ayarlı izinlere izin veren Erişim Kontrol Listeleri (ACL) mekanizmasını kullanarak çalışan bir istismar oluşturabildikleri gerçeğidir.
Popüler Hedef: İnceleme Uygulamaları için Apple Gatekeeper
Apple Gatekeeper, Mac aygıtlarında yalnızca “güvenilir uygulamaların”, yani geçerli bir yetkili tarafından imzalanan ve Apple tarafından onaylanan uygulamaların çalışmasını sağlamak için tasarlanmış bir güvenlik mekanizmasıdır. Yazılım Gatekeeper tarafından doğrulanamazsa kullanıcı, uygulamanın çalıştırılamayacağını açıklayan bir engelleme açılır penceresi alır.
Teorik olarak bu, kullanıcıların yanlışlıkla korsan sitelerden veya üçüncü taraf uygulama mağazalarından indirebilecekleri, yandan yüklenen kötü amaçlı uygulama tehdidini azaltır. Microsoft araştırmacıları, CVE-2022-22616, CVE-2022-32910, CVE- gibi daha önce istismar edilen güvenlik açıklarının gösterdiği gibi, sorun, kötü aktörlerin bu özellik için geçiş yolları bulmaya oldukça fazla zaman ayırmış olmasıdır. 2021-1810, CVE-2021-30657, CVE-2021-30853, CVE-2019-8656 ve CVE-2014-8826.
Microsoft araştırmacıları, “Bunun gibi ağ geçidi bekçisi baypasları, kötü amaçlı yazılımlar ve diğer tehditler tarafından ilk erişim için bir vektör olarak kullanılabilir ve kötü amaçlı kampanyaların ve macOS’a yönelik saldırıların başarı oranını artırmaya yardımcı olabilir” uyarısında bulundu. bir danışma bu hafta yayınlandı. “Verilerimiz, sahte uygulamaların macOS’taki en iyi giriş vektörlerinden biri olmaya devam ettiğini gösteriyor, bu da Gatekeeper atlama tekniklerinin saldırganların saldırılarda avantaj sağlaması için çekici ve hatta gerekli bir yetenek olduğunu gösteriyor.”
Yeni Bir Gatekeeper Bypass’ı Ortaya Çıkarma
Microsoft araştırmacıları, CVE-2021-1810’u çevreleyen ayrıntıların sırtına binerek, ACL mekanizması aracılığıyla özel izin kuralları olan kötü amaçlı dosyaları ekleyerek yeni bir baypas oluşturmaya çalıştılar.
Apple, indirilen uygulamalar için bir karantina mekanizması kullanıyor: “Safari gibi bir tarayıcıdan uygulama indirirken, tarayıcı indirilen dosyaya özel bir genişletilmiş özellik atar. Bu öznitelik com.apple.quarantine olarak adlandırılır ve daha sonra kullanılır. Gatekeeper gibi politikaları uygulamak için.”
Ancak macOS’ta isteğe bağlı ACL’leri ayarlamak için kullanılan com.apple.acl.text adlı özel bir genişletilmiş özniteliği uygulamak için ek bir seçenek vardır.
Microsoft araştırmacıları, “Her ACL’nin, her bir müdürün neyi yapıp neyi yapamayacağını belirleyen bir veya daha fazla Erişim Denetim Girişi (ACE) vardır, tıpkı güvenlik duvarı kuralları gibi,” diye açıkladı Microsoft araştırmacıları. “Bu bilgilerle donatılmış olarak, indirilen dosyalara çok kısıtlayıcı ACL’ler eklemeye karar verdik. Bu ACL’ler, Safari’nin (veya başka herhangi bir programın) com.apple.quarantine özniteliği de dahil olmak üzere yeni genişletilmiş öznitelikler ayarlamasını yasaklıyor.”
Ve karantina özniteliği yerinde olmadan, Gatekeeper, güvenlik mekanizmasını tamamen atlamasına izin veren dosyayı kontrol etmesi için uyarılmaz.
En önemlisi, Microsoft araştırmacıları, Apple’ın Temmuz ayında devlet destekli casus yazılımların risk altındaki hedeflere bulaşmasını önlemek için kullanıma sunduğu Kilitleme özelliğinin Aşil saldırısını engelleyemediğini keşfetti.
“Apple’ın, gelişmiş bir siber saldırı tarafından kişisel olarak hedef alınabilecek yüksek riskli kullanıcılar için isteğe bağlı bir koruma özelliği olarak macOS Ventura’da sunulan Kilitleme Modunun, sıfır tıklamayla uzaktan kod yürütme açıklarını durdurmayı amaçladığını ve bu nedenle bunlara karşı savunma yapmadığını not ediyoruz. Aşil,” Microsoft’a göre.
Sorun, en son macOS sürümünde kullanıma sunulan düzeltmelerle Temmuz ayında Apple’a açıklandı. Kendilerini korumak için, Mac kullanıcılarının işletim sistemlerini mümkün olan en kısa sürede en son sürüme güncellemeleri önerilir.