GryOprogramowanie

Aktywnie wykorzystano zabezpieczenia bezpieczeństwa systemu operacyjnego Mac 0-day zneutralizowanego rdzeniowym systemem operacyjnym

Aktywnie wykorzystano zabezpieczenia zabezpieczeń systemu operacyjnego Mac 0-day zneutralizowanym rdzeniem

Getty Images

Kiedy Apple wypuściło w poniedziałek najnowszą wersję 11.3 dla macOS, nie tylko wprowadziło obsługę nowych funkcji i optymalizacji. Co ważniejsze, firma naprawiła lukę typu zero-day, którą hakerzy aktywnie wykorzystywali do instalowania złośliwego oprogramowania bez uruchamiania podstawowych mechanizmów bezpieczeństwa komputerów Mac, z których niektóre istniały od ponad dekady.

Razem zabezpieczenia zapewniają kompleksowy zestaw zabezpieczeń zaprojektowanych, aby uniemożliwić użytkownikom nieumyślne zainstalowanie złośliwego oprogramowania na ich komputerach Mac. Podczas gdy exploity typu „jedno kliknięcie”, a nawet zero-kliknięcie, słusznie przyciągają wiele uwagi, znacznie częściej spotyka się trojanizowane aplikacje, które ukrywają złośliwe oprogramowanie jako grę, aktualizację lub inne pożądane oprogramowanie.

Ochrona użytkowników przed sobą

Inżynierowie Apple wiedzą, że trojany stanowią większe zagrożenie dla większości użytkowników komputerów Mac niż bardziej wyrafinowane exploity, które potajemnie instalują złośliwe oprogramowanie przy minimalnej lub żadnej interakcji ze strony użytkowników. Zatem podstawowa część zabezpieczeń komputera Mac opiera się na trzech powiązanych mechanizmach:

  • Kwarantanna plików wymaga wyraźnego potwierdzenia użytkownika, zanim plik pobrany z Internetu będzie mógł zostać wykonany.
  • Gatekeeper blokuje instalację aplikacji, chyba że są podpisane przez programistę znanego Apple.
  • Obowiązkowa notarialność aplikacji umożliwia instalowanie aplikacji dopiero po przeskanowaniu ich przez firmę Apple w poszukiwaniu złośliwego oprogramowania.

Na początku tego roku szkodliwe oprogramowanie dobrze znane ekspertom ds. Bezpieczeństwa komputerów Mac zaczęło wykorzystywać lukę, która pozwoliła mu całkowicie zablokować wszystkie trzy mechanizmy. Nazywany Shlayer, ma imponujący rekord w ciągu trzech lat, odkąd się pojawił.

Na przykład we wrześniu ubiegłego roku udało mu się przejść skanowanie bezpieczeństwa, którego Apple wymaga, aby aplikacje zostały poświadczone notarialnie. Dwa lata temu został dostarczony w ramach wyrafinowanej kampanii, w której wykorzystano nowatorską steganografię, aby uniknąć wykrycia złośliwego oprogramowania. W zeszłym roku Kaspersky powiedział, że Shlayer był najczęściej wykrywanym złośliwym oprogramowaniem dla komputerów Mac przez produkty firmy, z zidentyfikowanymi prawie 32 000 różnych wariantów.

Sprytne uniki

Wykorzystanie przez Shlayera dnia zerowego, które rozpoczęło się nie później niż w styczniu, było kolejnym imponującym wyczynem. Zamiast używać standardowego formatu Mach-O dla pliku wykonywalnego Mac, wykonywalny składnik w tym ataku był odpowiednikiem skryptu bash w systemie macOS, który wykonuje serię poleceń liniowych w określonej kolejności.

Zwykle skrypty pobierane z Internetu są klasyfikowane jako pakiety aplikacji i podlegają tym samym wymaganiom, co inne typy plików wykonywalnych. Jednak prosty hack pozwolił skryptom całkowicie uchylić się od tych wymagań.

Po usunięciu info.plist – strukturalnego pliku tekstowego, który odwzorowuje lokalizację plików, od których zależy – skrypt nie jest już rejestrowany jako pakiet wykonywalny w systemie macOS. Zamiast tego plik był traktowany jako plik PDF lub inny typ pliku niewykonywalnego, który nie podlegał funkcji Gatekeeper ani innym mechanizmom.

Jeden z ataków rozpoczął się wyświetleniem reklamy fałszywej aktualizacji Adobe Flash:

Jamf

Poniższe filmy pokazują, jak dużą różnicę zrobił exploit, gdy ktoś złapał przynętę i kliknął przycisk pobierania. Film bezpośrednio poniżej przedstawia to, co zobaczył widz po usunięciu ograniczeń. Ten poniżej, który pokazuje, o ile bardziej podejrzanie wyglądałaby aktualizacja, gdyby obowiązywały ograniczenia.

Atak Shlayera z wykorzystaniem exploita CVE-2021-30657.

https://www.youtube.com/watch?v=GPMENlgHRhk

Atak Shlayera bez exploita CVE-2021-30657.

Błąd, który jest śledzony jako CVE-2021-30657, został odkryty i zgłoszony firmie Apple przez badacza bezpieczeństwa Cedrica Owensa. Powiedział, że natknął się na to, gdy korzystał z narzędzia deweloperskiego o nazwie Appify, prowadząc badania do ćwiczenia „czerwonego zespołu”, w którym hakerzy symulują prawdziwy atak, próbując znaleźć wcześniej przeoczone słabości zabezpieczeń.

„Odkryłem, że Appify był w stanie przekształcić skrypt powłoki w podwójnie klikalną„ aplikację ”(w rzeczywistości tylko skrypt powłoki w strukturze katalogów aplikacji macOS, ale macOS traktował go jako aplikację)” – napisał w bezpośredniej wiadomości. – A kiedy zostanie wykonany, omija Gatekeeper. Po odkryciu, zgłosiłem to dość szybko i nie użyłem go w ćwiczeniach drużynowych na żywo ”.

Firma Apple naprawiła lukę w poniedziałkowym wydaniu systemu macOS 11.3. Owens powiedział, że wydaje się, że wada istnieje od czasu wprowadzenia systemu macOS 10.15 w czerwcu 2019 r., Czyli wtedy, gdy wprowadzono notarialność.

Owens omówił błąd z Patrickiem Wardle, ekspertem ds. Bezpieczeństwa komputerów Mac, który wcześniej pracował w Jamf, dostawcy zabezpieczeń dla przedsiębiorstw Mac. Następnie Wardle skontaktował się z badaczami Jamf, którzy odkryli wariant Shlayera, który wykorzystywał lukę, zanim został znany Apple lub większości światów bezpieczeństwa.

„Jedno z naszych wykryć zaalarmowało nas o tym nowym wariancie i po dokładniejszym zbadaniu odkryliśmy, że wykorzystuje on obejście, aby umożliwić instalację bez pytania użytkownika końcowego” – powiedział mi badacz Jamf Jaron Bradley. „Dalsza analiza prowadzi nas do przekonania, że ​​twórcy szkodliwego oprogramowania odkryli zera dzisiaj i dostosowali swoje złośliwe oprogramowanie tak, aby je wykorzystywał, na początku 2021 roku”.

Wardle opracował exploit typu proof-of-concept, który pokazał, jak działa wariant Shlayer. Po pobraniu z Internetu wykonywalny skrypt pojawia się jako plik PDF o nazwie Patrick’s Resume. Gdy ktoś dwukrotnie kliknie plik, uruchamia plik o nazwie calculator.app. Eksploit może równie łatwo wykonać złośliwy plik.

Patrick Wardle

W szczegółowym zagłębieniu na 12 000 słów, które zagłębia się w przyczyny i skutki exploitów, Wardle podsumował:

Chociaż ten błąd jest teraz załatany, wyraźnie (po raz kolejny) pokazuje, że macOS nie jest odporny na niewiarygodnie płytkie, ale niezwykle wpływowe wady. Jak płytko? Cóż, fakt, że legalne narzędzie programistyczne (appify) mogłoby nieumyślnie wywołać błąd, jest nie do śmiechu (i smutku).

A jak duży wpływ? Zasadniczo bezpieczeństwo macOS (w kontekście oceny aplikacji uruchamianych przez użytkowników, które, jak pamiętam, odpowiada za zdecydowaną większość infekcji macOS), zostało całkowicie poddane dyskusji.

Bradley opublikował post, w którym opisano, jak wyglądał i działał exploit.

Wiele osób uważa złośliwe oprogramowanie, takie jak Shlayer, za nieskomplikowane, ponieważ polega na oszukiwaniu swoich ofiar. Aby oddać Shlayerowi należność, złośliwe oprogramowanie jest bardzo skuteczne, w dużej mierze ze względu na jego zdolność do tłumienia zabezpieczeń macOS zaprojektowanych w celu ostrzeżenia użytkowników, zanim przypadkowo zainfekują się. Ci, którzy chcą wiedzieć, czy padli ofiarą tego exploita, mogą pobrać ten skrypt Pythona napisany przez Wardle.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook