Microsoft раскрывает уязвимость MacOS "Powerdir", которая позволила получить доступ к пользовательским данным

Команда исследований Microsoft 365 Defender в понедельник в блоге сообщила, что они обнаружили новую уязвимость macOS “powerdir”, которая может позволить злоумышленнику обойти технологию прозрачности, согласия и контроля (TCC) операционной системы, тем самым получив несанкционированный доступ к защищенным данным пользователя.

После обнаружения Microsoft поделилась своими выводами с Apple, после чего купертиновский гигант выпустил исправление для этой уязвимости, теперь идентифицируемой как CVE-2021-30970, в рамках обновлений безопасности, выпущенных 13 декабря 2021 года.

“Мы призываем пользователей macOS как можно скорее установить эти обновления безопасности,” - написала Microsoft.

Для тех, кто не в курсе, TCC - это технология в macOS, которая в основном предназначена для помощи пользователям в настройке параметров конфиденциальности их приложений, таких как доступ к камере устройства, микрофону или местоположению, а также доступ к календарю пользователя или учетной записи iCloud, среди прочего.

Чтобы защитить TCC, Apple представила функцию, которая предотвращает выполнение несанкционированного кода и ввела политику, ограничивающую доступ к TCC только для приложений с полным доступом к диску.

Microsoft обнаружила, что возможно программно изменить домашний каталог целевого пользователя и установить поддельную базу данных TCC, которая хранит историю согласия запросов приложений.

Если уязвимость “powerdir” будет использована на неподготовленных системах, она может позволить злоумышленнику потенциально организовать атаку на основе защищенных персональных данных пользователя. Например, злоумышленник может перехватить приложение, установленное на устройстве, или установить свое собственное вредоносное приложение и получить доступ к микрофону для записи частных разговоров или захвата скриншотов конфиденциальной информации, отображаемой на экране пользователя.

Команда отметила, что другие уязвимости TCC были ранее сообщены и впоследствии исправлены до их обнаружения. Она также указала, что, исследуя одно из последних исправлений, они наткнулись на уязвимость powerdir.

“На самом деле, в ходе этого исследования нам пришлось обновить наш эксплойт proof-of-concept (POC), потому что первоначальная версия больше не работала на последней версии macOS, Monterey,” - добавила Microsoft.

“Это показывает, что даже по мере того, как macOS или другие операционные системы и приложения становятся более защищенными с каждым выпуском, такие поставщики программного обеспечения, как Apple, исследователи безопасности и более широкое сообщество безопасности должны постоянно работать вместе, чтобы выявлять и исправлять уязвимости, прежде чем злоумышленники смогут воспользоваться ими.”

Исследователи безопасности Microsoft заключили, что продолжают “мониторить угрозы” для обнаружения новых уязвимостей и техник атак, которые могут повлиять на macOS и другие устройства, не работающие под управлением Windows.

Чтобы узнать больше о эксплойте, вы можете прочитать пост в блоге от команды исследований Microsoft 365 Defender.