Zoom, bilgisayar korsanlarının video konferans yazılımı çalıştıran bir macOS cihazını ele geçirmesine izin verebilecek ciddi bir güvenlik açığını yamaladı.
Hareket, Mac güvenlik uzmanı Patrick Wardle’ın bir tehdit aktörünün macOS’un yazılım yamalarını işleme biçimini nasıl kötüye kullanarak bir ayrıcalık artışını tetikleyebileceğini ve esas olarak cihazı ele geçirebileceğini göstermesinin ardından geldi.
Başlangıçta, güvenlik açığının birden fazla kusurdan yararlandığını ve şirketin çoğunu ele aldığını söyledi. Bununla birlikte, bir tanesi kaldı ve bu, sorunu tamamen azaltmak için daha sonraki bir tarihte yamalandı.
Güncelleyiciyi kandırmak
Sorun, macOS’un güncellemeleri işleme biçiminde yatmaktadır. Bir kullanıcı, uç noktada bir uygulamayı veya programı ilk kez yüklemeye çalıştığında, genellikle bir parola göndererek verilen özel kullanıcı izinleriyle çalışması gerekir. Bundan sonra, otomatik güncellemeler, süper kullanıcı ayrıcalıklarıyla süresiz olarak çalışır.
Zoom’un durumunda, güncelleyici önce şirketin yeni paketi kriptografik olarak imzalayıp imzalamadığını kontrol edecek ve öyleyse güncellemeye devam edecek. Ancak güncelleyici, Zoom’un imzalama sertifikasıyla aynı ada sahip herhangi bir dosya alırsa, onu çalıştırır. Başka bir deyişle, bir saldırgan, üçüncü bir tarafa cihaza tam erişim vermek anlamına gelse bile, güncelleyici aracılığıyla herhangi bir kötü amaçlı yazılıma sızabilir.
Kusur daha sonra CVE-2022-28756 olarak tanımlandı ve şu anda indirilebilen macOS için Zoom 5.11.5 sürümünde düzeltildi.
Wardle ilk başta kusuru düzeltmenin nispeten kolay olduğunu belirtse de, Zoom’un sorunu çözme hızına kendisi bile şaşırdı: “(inanılmaz) hızlı düzeltme için Mahalos’tan Zoom’a!” Wardle daha sonra tweet attı. “Yamayı tersine çevirdiğimizde, Zoom yükleyicisinin artık .pkg güncellemesinin izinlerini güncellemek için lchown’ı çağırdığını ve böylece kötü niyetli yıkımı önlediğini görüyoruz.”
Aracılığıyla: Sınır (yeni sekmede açılır)
