Microsoft обнаружила уязвимость macOS, которая обходит безопасность

Apple недавно исправила уязвимость в операционной системе macOS, которая потенциально могла быть использована злоумышленником для обхода механизма безопасности Gatekeeper от Apple и развертывания вредоносного ПО на уязвимых устройствах macOS.

Джонатан Бар Ор, старший исследователь безопасности Microsoft, подробно описал Gatekeeper, уязвимость, способную его обойти, и последствия этой ошибки в публикации в блоге по безопасности, опубликованной в понедельник.

Исследование было опубликовано Microsoft, чтобы подчеркнуть важность сотрудничества между исследователями и сообществом безопасности для улучшения защиты более широкой экосистемы.

Уязвимость отслеживается как CVE-2022-42821 (названная Ахиллесом), она связана со сценарием, при котором злоумышленники могут обойти ограничения на выполнение приложений, установленные проверками безопасности Gatekeeper от Apple, которые предназначены для обеспечения запуска только доверенного программного обеспечения на устройствах Mac.

Microsoft поделилась уязвимостью с Apple в июле 2022 года через Координированное раскрытие уязвимостей (CVD) через Исследование уязвимостей безопасности Microsoft (MSVR).

Производитель iPhone устранил уязвимость Ахиллес, выпустив обновление в macOS 13 (Ventura), macOS 12.6.2 (Monterey) и macOS 1.7.2 (Big Sur) 13 декабря 2022 года.

«Обходы Gatekeeper, подобные этому, могут быть использованы как вектор для первоначального доступа вредоносного ПО и других угроз и могут помочь увеличить вероятность успеха злонамеренных кампаний и атак на macOS», - написал Джонатан в публикации в блоге.

Обход ограничительных ACL Gatekeeper

Gatekeeper - это функция безопасности macOS, которая обеспечивает подпись кода и проверяет загруженные приложения перед тем, как разрешить их запуск, тем самым снижая вероятность случайного выполнения вредоносного ПО.

При загрузке приложений из браузера, такого как Safari, браузер присваивает загруженному файлу специальный расширенный атрибут с именем com.apple.quarantine. Этот атрибут позже используется для применения политик, таких как Gatekeeper.

Текущий дизайн Gatekeeper диктует следующее поведение для загруженных приложений:

2. Если приложение правильно подписано и нотариально заверено, то есть одобрено Apple, то появляется запрос на согласие пользователя перед его запуском.

3. В противном случае пользователь информируется о том, что приложение не может быть запущено, так как оно ненадежно.

«Из-за своей важной роли в остановке вредоносного ПО на macOS, Gatekeeper является полезной и эффективной функцией безопасности», - добавляет Джонатан.

«Однако, учитывая, что в прошлом существовало множество техник обхода, нацеленных на эту функцию безопасности, Gatekeeper не является непроницаемым. Получение возможности обходить Gatekeeper имеет серьезные последствия, так как иногда авторы вредоносного ПО используют эти техники для первоначального доступа .»

Чтобы продемонстрировать уязвимость Ахиллес, Microsoft разработала доказательство концепции (POC), которое исследовало файлы AppleDouble, неправильно использующие ACL.

Для тех, кто не знает, AppleDouble - это формат файла, который сохраняет метаданные в другом файле рядом с оригинальным файлом с префиксом «._».

Компания решила добавить очень ограничительные ACL к загруженным файлам, что запретило Safari (или любой другой программе) устанавливать новые расширенные атрибуты, включая атрибут com.apple.quarantine.

Чтобы выполнить POC, Microsoft создала поддельную структуру каталогов с произвольной иконкой и полезной нагрузкой.

Гигант из Редмонда затем создал файл AppleDouble с ключом расширенного атрибута com.apple.ac.text и значением, представляющим ограничительный ACL, выбрав эквивалент «everyone deny write,writeattr,writeextattr,writesecurity,chown». Выполните правильную патчинг AppleDouble, если используете ditto для генерации файла AppleDouble.

Наконец, он создал архивированную вредоносную полезную нагрузку внутри вредоносного приложения вместе с его файлом AppleDouble и разместил его на веб-сервере.

В результате вредоносное приложение вместо того, чтобы быть заблокированным Gatekeeper, позволило злоумышленникам загружать и развертывать вредоносное ПО.

«Режим блокировки Apple, представленный в macOS Ventura как опциональная функция защиты для пользователей с высоким риском, которые могут стать объектом целенаправленной кибератаки, направлен на остановку эксплойтов удаленного выполнения кода с нулевым щелчком, и, следовательно, не защищает от Ахиллеса», - заявила команда Microsoft Security Threat Intelligence в понедельник.

«Конечные пользователи должны применить исправление независимо от их статуса режима блокировки.»