Çarşamba günü Microsoft, Apple’ın işletim sistemlerini etkileyen ve başarıyla kullanılırsa saldırganların cihaz ayrıcalıklarını yükseltmesine ve kötü amaçlı yazılım dağıtmasına izin verebilecek, şimdi yamalı bir güvenlik açığına ışık tuttu.
Jonathan Bar Veya Microsoft 365 Defender Araştırma Ekibinden “Bir saldırgan, etkilenen cihazda yükseltilmiş ayrıcalıklar elde etmek veya ek yükler yüklemek gibi kötü amaçlı komutlar yürütmek için bu sanal alan kaçış güvenlik açığından yararlanabilir” söz konusu bir yazımda.
olarak izlendi CVE-2022-26706 (CVSS puanı: 5.5), güvenlik açığı iOS, iPadOS, macOS, tvOS ve watchOS’u etkiler ve Mayıs 2022’de Apple tarafından giderildi.
Bunu LaunchServices (launchd) bileşenini etkileyen bir erişim sorunu olarak adlandıran iPhone üreticisi, “Korumalı bir işlem korumalı alan kısıtlamalarını aşabilir” diyerek sorunu ek kısıtlamalarla hafifletti.
Apple’ın iken Uygulama Korumalı Alanı bir üçüncü taraf uygulamasının sistem kaynaklarına ve kullanıcı verilerine erişimini sıkı bir şekilde düzenlemek için tasarlanmıştır, bu güvenlik açığı bu kısıtlamaları atlamayı ve makinenin güvenliğini aşmayı mümkün kılar.
Apple, “Korumalı alanın birincil işlevi, kullanıcı güvenliği ihlal edilmiş bir uygulamayı çalıştırırsa sisteme ve kullanıcı verilerine zarar vermektir.” açıklar belgelerinde.
“Korumalı alan, uygulamanıza yönelik saldırıları engellemese de, uygulamanızı düzgün çalışması için gereken minimum ayrıcalık kümesiyle sınırlayarak başarılı bir saldırının neden olabileceği zararı azaltır.”
Microsoft, özel hazırlanmış bir Microsoft Office makrosunda kötü amaçlı kodu gizleyerek sanal alandan kaçmanın ve macOS’ta rastgele komutlar yürütmenin bir yolunu bulma girişimleri sırasında kusuru keşfettiğini söyledi.
Spesifik olarak, teknoloji devi tarafından tasarlanan tweet boyutundaki kavram kanıtı (PoC), bir komutu aç — dosyaları açmak ve uygulamaları başlatmak için kullanılan bir yardımcı program — hileli talimatlar içeren bir Python yükünde.
Ancak korumalı alan uygulaması tarafından bırakılan herhangi bir dosyanın otomatik olarak ” ile etiketlendiğini belirtmekte fayda var.com.apple.karantina“genişletilmiş öznitelik tetiklemek yürütmeden önce açık kullanıcının onayını gerektiren bir istem.
Ancak bu kısıtlama, Python yararlanma dosyasıyla ilişkili open komutu için -stdin seçeneği kullanılarak ortadan kaldırılabilir.
Bar Or, “–stdin, ‘com.apple.quarantine’ genişletilmiş öznitelik kısıtlamasını atladı, çünkü Python’un standart girdisindeki içeriğin karantinaya alınmış bir dosyadan geldiğini bilmesinin bir yolu yoktu,” dedi.
