Microsoft, kötü amaçlı uygulamaların yürütülmesini önlemek için uygulanan güvenlik korumalarını aşmak için bir saldırgan tarafından istismar edilebilecek Apple macOS’ta artık yamalanmış bir güvenlik açığının ayrıntılarını açıkladı.
Eksiklik, dublaj Aşil (CVE-2022-42821CVSS puanı: 5.5), iPhone üreticisi tarafından şu adreste ele alındı: macOS Ventura 13, Monterey 12.6.2ve Büyük Sur 11.7.2bunu Gatekeeper kontrollerini atlatmak için bir uygulama tarafından silah haline getirilebilecek bir mantık sorunu olarak tanımlıyor.
Microsoft 365 Defender Araştırma Ekibinden Jonathan Bar Or, “Bunun gibi ağ geçidi bekçisi atlamaları, kötü amaçlı yazılımlar ve diğer tehditler tarafından ilk erişim için bir vektör olarak kullanılabilir ve macOS’ta kötü amaçlı kampanyaların ve saldırıların başarı oranını artırmaya yardımcı olabilir.” söz konusu.
Gatekeeper, işletim sisteminde yalnızca güvenilir uygulamaların çalışmasını sağlamak için tasarlanmış bir güvenlik mekanizmasıdır. Bu zorunlu İnternetten indirilen dosyalara atanan “com.apple.quarantine” adlı genişletilmiş bir öznitelik aracılığıyla. Windows’taki Web İşareti (MotW) bayrağına benzer.
Bu nedenle, şüphelenmeyen bir kullanıcı, meşru bir yazılımın kimliğine bürünen potansiyel olarak zararlı bir uygulamayı indirdiğinde, Gatekeeper özelliği, Apple tarafından geçerli bir şekilde imzalanmadığı ve noter tarafından tasdik edilmediği için uygulamanın çalıştırılmasını engeller.
Bir uygulamanın Apple tarafından onaylandığı durumlarda bile, kullanıcılara açık onaylarını almak için ilk kez başlatıldığında bir istem görüntülenir.
Gatekeeper’ın macOS’ta oynadığı önemli rol göz önüne alındığında, tehdit aktörlerinin makinelere kötü amaçlı yazılım yerleştirmesine etkili bir şekilde izin verebilecek güvenlik bariyerini aşmanın sonuçlarını hayal etmek zor.
Microsoft tarafından tanımlanan Aşil güvenlik açığı, Erişim Kontrol Listeleri (EKL’ler) indirilen bir dosyaya son derece kısıtlayıcı izinler eklemek (yani, “herkes yazma, yazma, yazma, yazma, chown”), böylece Safari’nin genişletilmiş karantina özniteliğini ayarlamasını engeller.
Varsayımsal bir saldırı senaryosunda, bir saldırgan, hileli bir uygulama oluşturma ve onu bir sunucuda barındırma tekniğini benimseyebilir ve bu, daha sonra sosyal mühendislik, kötü amaçlı reklamlar veya bir su birikintisi yoluyla olası bir hedefe iletilebilir.
Yöntem aynı zamanda Apple’ın yeni tanıttığı Kilitleme Modu macOS Ventura’da (sıfır tıklamayla açıktan yararlanmaya karşı koymaya yönelik isteğe bağlı kısıtlayıcı bir ayar) kullanıcıların tehditleri azaltmak için en son güncellemeleri uygulamasını gerektirir.
Bar Or, “Sahte uygulamalar, macOS’taki en iyi giriş vektörlerinden biri olmaya devam ediyor, bu da Gatekeeper baypas tekniklerinin çekici ve hatta düşmanların saldırılarda avantaj sağlaması için gerekli bir yetenek olduğunu gösteriyor” dedi.