Новая уязвимость macOS позволяет несанкционированный доступ к данным

Microsoft Threat Intelligence в четверг сообщила, что они обнаружили уязвимость macOS, которая потенциально может позволить злоумышленникам обойти технологию прозрачности, согласия и контроля (TCC) операционной системы и получить несанкционированный доступ к чувствительным данным пользователя.

Эта уязвимость macOS была идентифицирована как CVE-2024-44133 и названа “HM Surf”. Для тех, кто не в курсе, TCC — это технология, которая предотвращает доступ приложений к личной информации пользователя, включая службы геолокации, камеру, микрофон, директорию загрузок и другим, без их предварительного согласия и осведомленности.

Однако уязвимость HM Surf связана с удалением защиты TCC для директории браузера Safari и изменением конфигурационного файла в указанной директории.

Это может позволить злоумышленникам получить несанкционированный доступ к чувствительным данным пользователя, включая историю просмотров, камеру устройства, микрофон и даже информацию о местоположении, без согласия пользователя.

Согласно отчету Microsoft Threat Intelligence, обход зависит от чувствительных файлов в директории ~/Library/Safari.

Злоумышленник может обойти средства безопасности, изменив чувствительные файлы в реальной домашней директории пользователя (таких как /Users/$USER/Library/Safari/PerSitePreferences.db) и использовать права Safari и TCC.

“Чтение произвольных файлов из директории позволяет злоумышленникам собирать крайне полезную информацию (например, историю просмотров пользователя)”, — говорится в отчете, добавляя: “Запись в директорию позволяет обойти TCC, например, переопределяя PerSitePreferences.db.”

Гигант из Редмонда также отметил, что средства мониторинга поведения в Microsoft Defender for Endpoint зафиксировали подозрительную активность, связанную с известным рекламным ПО для macOS, Adload, распространенной угрозой для macOS, потенциально использующей эту уязвимость.

“Microsoft Defender for Endpoint обнаруживает и блокирует эксплуатацию CVE-2024-44133, включая аномальные изменения файла настроек через HM Surf или другие методы”, — добавил отчет.

Microsoft поделилась своими выводами с Apple через Координированное раскрытие уязвимостей (CVD) через Исследования уязвимостей безопасности Microsoft (MSVR), которые были исправлены Apple в рамках последних обновлений безопасности для macOS Sequoia 16 сентября 2024 года.

В настоящее время только браузер Safari от Apple использует новые защиты, предоставляемые TCC. Microsoft работает с другими крупными поставщиками браузеров, включая Google и Mozilla, чтобы дополнительно исследовать преимущества укрепления локальных конфигурационных файлов.

Компания настоятельно призывает пользователей macOS как можно скорее установить последние обновления безопасности от Apple, чтобы защититься от этой уязвимости.

“Microsoft продолжает мониторить ландшафт угроз, чтобы обнаруживать новые уязвимости и техники атакующих, которые могут повлиять на macOS и другие устройства, не работающие на Windows. Поскольку кроссплатформенные угрозы продолжают расти, скоординированный ответ на обнаружение уязвимостей и другие формы обмена разведывательной информацией о угрозах помогут обогатить технологии защиты, которые обеспечивают безопасность пользовательского опыта независимо от платформы или устройства, которые они используют”, — заключил отчет.