Apple выпустила macOS 11.3, исправляя серьезную ошибку, которая позволяла злоумышленнику проникать вредоносными файлами через механизм безопасности Gatekeeper операционной системы.

Яндекс

Как пояснили, Gatekeeper является одним из основных средств защиты MacOS от установки вредоносных программ. Седрик Оуэнс, исследователь безопасности, обнаруживший ошибку, в сообщении для Реестр.

По его словам, эта уязвимость позволяет злоумышленнику подстроить вредоносный файл, чтобы он не блокировался Gatekeeper, когда пользователь пытается его открыть. Он считает это одним из самых опасных, с которыми он сталкивался в последних версиях macOS.

Все, что потребуется для установки вредоносной полезной нагрузки, злоупотребляющей этой ошибкой, — это дважды щелкнуть вредоносное ПО, загруженное на Mac по ссылке, отправленной по электронной почте, или на веб-сайте.

«Жертва, взорвавшая одну из этих полезных нагрузок, даст злоумышленнику возможность удаленного доступа к конфиденциальным данным в каталогах, не защищенных TCC. [Apple’s Transparency, Consent, and Control framework]», — сказал Оуэнс, который подробно рассказал о своих выводах в Средний пост.

В электронном письме на адрес Реестр, исследователь безопасности Патрик Уордл, основатель бесплатного проекта безопасности Objective See и директор по исследованиям в Security Biz Synack, сказал: «Эта ошибка, тонкий логический изъян глубоко внутри подсистемы политик macOS, тривиально обходит многие основные механизмы безопасности Apple, такие как File Quarantine, Требования к привратнику и нотариальному удостоверению, подвергающие пользователей Mac серьезному риску ».

Он написал вопрос полностью здесь.

По его словам, большинство случаев заражения Mac вредоносным ПО является результатом того, что пользователи невольно запускают зараженное программное обеспечение. Он указал на недавно обнаруженный Вредоносное ПО Silver Sparrow, которому удалось заразить более 30 000 компьютеров Mac за несколько недель, несмотря на необходимость взаимодействия с пользователем.

Груды денег
Читайте также:
Watchdog «включает автопилот Tesla» с веревкой, небольшим грузом, ремнем безопасности ... и без реального человека за рулем • The Register

По крайней мере, Sony предложила футболку, говорит специалист по дефектоскопу macOS: «Баунти-баунти для компьютеров Mac, если вы хотите этот нулевой день, Apple

ЧИТАТЬ ДАЛЕЕ

Apple на протяжении многих лет внедряла взаимосвязанные механизмы для снижения угрозы вредоносных программ на основе взаимодействия, такие как карантин файлов в 2007 году (Mac OS X Leopard), Gatekeeper в 2012 году (Mac OS X Lion v10.7.5) и нотариальное заверение приложений. в 2020 году (macOS 10.15).

Благодаря этой ошибке, объяснил Уордл, «можно создать вредоносное приложение, которое, хотя и без подписи (и, следовательно, не нотариально заверено), но классифицируется неверно и, таким образом, может запускаться без подсказок или предупреждений. Это эффективно возвращает аспекты безопасности macOS к прежнему состоянию. Уровни 2007 г. «

Упомянутый Уордлом логический недостаток связан с недосмотром кода, который неправильно классифицирует приложение на основе сценария (запускаемое через оболочку, /bin/sh) без Info.plist файл конфигурации как «не пакет», что означает, что сценарий может выполняться без каких-либо предупреждений гейткипера или запросов на разрешение. Он существует с момента выпуска macOS Catalina 10.15 в 2019 году.

В бесплатном инструменте безопасности BlockBlock от Objective See есть режим для обнаружения приложений, которые не нотариально заверены, например, вредоносный скрипт, пытающийся использовать обход Gatekeeper. Очевидно, то же самое относится и к корпоративному продукту Jamf Protect.

Уордл сказал, что в начале этого месяца он и его бывшие коллеги из охранной фирмы Jamf обнаружили для Mac вредоносное ПО, которое эксплуатирует эту ошибку.

Читайте также:
Минюст отменяет закупку ERP на 100 млн фунтов стерлингов в соответствии со стратегией совместного обслуживания правительства Великобритании °

В соответствии с Джарон Брэдли, эксперт по обнаружению macOS в Jamf, вредоносное ПО, обнаруженное с помощью этого метода, представляет собой обновленную версию Shlayer, семейства вредоносных программ, обнаруженных в 2018 году, которые являются одной из наиболее часто встречающихся форм вредоносных программ для Mac.

«Одно из наших обнаружений предупредило нас об этом новом варианте, и при более внимательном рассмотрении мы обнаружили, что он использует этот обходной канал, позволяющий установить его без запроса конечного пользователя», — пояснил Брэдли в сообщении для Реестр. «Дальнейший анализ приводит нас к выводу, что разработчики вредоносного ПО обнаружили нулевой день и скорректировали свое вредоносное ПО для его использования в начале 2021 года».

«Цель Шлайера — установить рекламное ПО на компьютер жертвы, чтобы авторы вредоносного ПО могли получать прибыль от рекламы», — сказал Брэдли, отметив, что самый ранний образец, использующий метод обхода привратника, был обнаружен 9 января 2021 года.

Оуэнс сказал, что сообщил об ошибке в Apple 25 марта. Apple исправила проблему пятью днями позже в бета-версии macOS Big Sur 11.3, сказал Уордл, основываясь на поиске измененных строк в бета-коде. Официальный выпуск macOS Big Sur 11.3 должен помочь закрыть эту конкретную дыру, как только пользователи macOS применит обновление. ®