MacOS cihazlarındaki Safari tarayıcısındaki bir güvenlik zayıflığı, kullanıcıları casusluğa, veri hırsızlığına ve diğer kötü amaçlı yazılım türlerine maruz bırakabilir.
Sorun, Apple’ın kendi özel uygulamalarına (bu durumda tarayıcısına) verdiği özel izinler ve bir saldırganın önemli uygulama yapılandırma dosyalarına erişme kolaylığı nedeniyle mümkün oluyor. Sonuçta saldırganın Şeffaflık, Rıza ve Kontrol (TCC) MacBook’ların hassas verileri korumak için kullandığı güvenlik katmanı. CVE girişi olan CVE-2024-44133, Ortak Güvenlik Açığı Puanlama Sisteminde (CVSS) “orta” şiddet derecesi 5,5’e layık görüldü.
Microsoft’tan araştırmacılar, CVE-2024-44133 istismarına “HM Sörf.” Yeni bir blog gönderisinde, HM Surf’ün diğer şeylerin yanı sıra kullanıcının tarama verilerine, kamerasına ve mikrofonuna, ayrıca cihazının konumuna nasıl kapı açabileceğini açıkladılar. Ve tehdit yalnızca teorik olarak görünmüyor : Halihazırda bir reklam yazılımı programının CVE-2024-44133’ü veya buna benzer bir şeyi yaygın olarak kullandığını gösteren sonuçsuz ama önemsiz olmayan kanıtlar mevcut.
Apple, 16 Eylül’de macOS Sequoia güncellemesinde CVE-2024-44133 için bir düzeltme yayınladı.
Menlo Security’nin siber güvenlik uzmanı Xen Madden, kuruluşların macOS cihazlarını güncelleme ihtiyacını vurgulayarak “Verdiği yetkisiz erişim nedeniyle bu ciddi bir endişe” diyor. Ancak şunları ekliyor: “Görünüşe bakılırsa çoğu EDR aracı bunu algılayacak, özellikle de Microsoft Defender bunu algıladığı için.”
HM Surf’ten Yararlanmak
Tüm Apple cihazlarında TCC, uygulamaların hangi hassas verilere ve özelliklere erişebileceğini yönetmek için oradadır. Örneğin TCC sayesinde bir uygulama kameranıza erişmek isterse, Mac’inizin önce izninizi isteyeceğinden emin olabilirsiniz.
Uygulamanızın özel bir “yetkisi” olmadığı sürece. Apple’ın tescilli uygulamalarından bazıları, diğer uygulamalara kıyasla onlara benzersiz ayrıcalıklar sağlayan, Apple tarafından onaylanan özel izinler gibi yetkilere sahiptir. HM Surf’ün çalışmasının temelinde Safari’nin “com.apple.private.tcc.allow” yetkisi yer alıyor; bu yetki, TCC’yi uygulama düzeyinde atlamasına ve bunu yalnızca web sitesi bazında (“kaynak başına”) uygulamasına olanak tanıyor. Başka bir deyişle, Safari kameranıza ve mikrofonunuza istediği gibi serbestçe erişebilir, ancak Safari üzerinden ziyaret ettiğiniz herhangi bir web sitesi muhtemelen bunu yapamaz.
Kaynak bazında TCC korumalarını tanımlayan kurallar da dahil olmak üzere Safari’nin yapılandırması, aşağıdaki adreste çeşitli dosyalarda saklanır: ~/Kütüphane/Safarikullanıcının ana dizini içinde. Bu dosyaları değiştirmek bir yol sağlayabilir TCC bypass’ıancak ana dizinin kendisi TCC korumalıdır.
Ancak macOS’ta dizin hizmetlerini komut satırından yönetmek için kullanılan bir araç olan otolojik dizin hizmeti komut satırı yardımcı programını (DSCL) kullanarak bu engeli aşmak kolaydır. HM Surf’te DSCL, TCC şemsiye korumasını kaldırarak ana dizini geçici olarak değiştirmek için kullanılır ~/Kütüphane/Safari. Artık ana dizini eski durumuna getirmeden önce Safari’nin kaynak başına TCC yapılandırmalarını değiştirerek kendi oluşturdukları kötü amaçlı bir web sitesi için her türlü izne izin verebileceklerdi. Bundan sonra, bir kullanıcı kötü amaçlı siteyi ziyaret ederse site, herhangi bir izin açılır penceresini tetiklemeden ekran görüntülerini, konum verilerini ve daha fazlasını yakalama konusunda tam yetkiye sahip olacaktır.
CVE-2024-44133 Zaten Kullanıldı mı?
Microsoft, bu istismarı hazırladıktan sonra müşteri ortamlarını, bulduklarıyla uyumlu etkinlikler açısından taramaya başladı. Bir cihazda aradıkları şeye oldukça benzeyen bir şey fark ettiler.
Bu, kurbanın Chrome yapılandırma ayarlarını araştıran ve belirli bir URL’ye mikrofon ve kamera erişimi için onay ekleyen bir programdı. Ayrıca daha fazlasını da yaptı: Kullanıcı ve cihaz bilgilerinin toplanması, ikinci aşama veri yükünün temellerinin atılması.
Bu programın, ” adlı tanınmış bir macOS reklam yazılımı programı olduğu ortaya çıktı.Reklam Yüklemesi.” AdLoad, tarayıcı trafiğini ele geçirip yeniden yönlendirerek kullanıcıları istenmeyen reklamlarla rahatsız ediyor. Ayrıca daha da ileri gidiyor: kullanıcı verilerini topluyor, virüs bulaşmış cihazları bir botnet’teki düğümlere dönüştürüyor ve daha fazla kötü amaçlı yük için hazırlık alanı görevi görüyor.
Microsoft, blog yazısında, AdLoad’un etkinliğinin HM Surf tekniğine çok benzemesine rağmen şunları kaydetti: “Etkinliğe yol açan adımları gözlemleyemediğimiz için, AdLoad kampanyasının HM sörfünden yararlanıp yararlanmadığını tam olarak belirleyemiyoruz güvenlik açığının ta kendisi.” Yine de şunu ekledi: “Saldırganların yaygın bir tehdidi dağıtmak için benzer bir yöntem kullanması, bu tekniği kullanan saldırılara karşı koruma sağlamanın önemini artırıyor.”
Dark Reading, bu hikaye hakkında daha fazla yorum yapmak için hem Apple hem de Microsoft ile iletişime geçti.