Apple fik for nylig en nul-dages fejl i macOS, der kunne omgå operativsystemets anti-malware-beskyttelse. Undersøgelsen viser også, at en variant af den velkendte Shlayer-malware allerede har udnyttet fejlen i flere måneder.
CVE-2021-30657 Nul-dags teknisk oversigt
Sårbarheden blev opdaget af sikkerhedsforsker Cedric Owens, og er blevet sporet CVE-2021-30657. Som forklaret af Patrick Wardle, der blev bedt om af Owens at give en dybere analyse, sårbarheden omgår trivielt mange vigtige Apple-sikkerhedsmekanismer, skaber en stor trussel mod Mac-brugere.
Udnyttelsen er testet på macOS Catalina 10.15, og på Big Sur-versioner før 11.3. Der blev sendt en rapport til Apple i marts 25.
“Denne nyttelast kan bruges til phishing, og alt hvad offeret skal gøre er at dobbeltklikke på for at åbne .dmg og dobbeltklikke på den falske app inde i .dmg – der genereres ingen pop op-vinduer eller advarsler fra macOS.,”Owens forklarede på hans Medium-blog.
Hvad angår Wardles mere omfattende analyse, det afslørede, at CVE-2021-30657 bug kunne omgå tre vigtige anti-malware-beskyttelser i macOS - File Quarantine, gatekeeper, og notarisering. Det er bemærkelsesværdigt, at Notarization er den seneste sikkerhedsfunktion af de tre, introduceret i macOS Catalina (10.15). Funktionen introducerer Application Notarization, der skal sikre, at Apple har scannet og godkendt alle applikationer, før de får lov til at køre.
Triple Threat Zero-Day
Kort sagt, nul-dagen er en tredoblet trussel, der lader malware komme frit ind i systemet. For at gøre dette, udnyttelsen udløser en bevægelse en logisk fejl i macOS 'underliggende kode på en måde, som det forkert karakteriserer visse applikationsbundter og springer over regelmæssige sikkerhedskontroller, ifølge Wardles forklaring. Dette er muligt på grund af den måde, macOS-applikationer identificerer filer på - som bundter i stedet for forskellige filer. Bundterne indeholder en liste over egenskaber, der instruerer appen om de specifikke placeringer af filer, den har brug for.
“Ethvert scriptbaseret program, der ikke indeholder en Info.plist-fil, klassificeres forkert som“ ikke en pakke ”og får således lov til at udføre uden advarsler eller anmodninger,”Tilføjede Wardle.
Senere analyse fra Jamf-firmaet afslørede, at sårbarheden allerede er blevet brugt i faktiske angreb.
“Shlayer-malware opdaget giver en hacker mulighed for at omgå Gatekeeper, Notarisering og filkarantæne sikkerhedsteknologier i macOS. Udnyttelsen tillader ikke-godkendt software at køre på Mac og distribueres via kompromitterede websteder eller forgiftede søgemaskineresultater,”Jamf-forskere bekræftede.
Tidligere Shlayer Malware-angreb
Den Shlayer-malware har tidligere været kendt for at deaktivere Gatekeeper i angreb mod macOS-brugere. Shlayer er en flertrins malware, i stand til at erhverve kapaciteter til optrapning af privilegier. Det blev først opdaget i februar 2018 af Intego forskere.
Det er også bemærkelsesværdigt, at Shlayer tidligere blev distribueret i store malvertising-kampagner, hvor ca. 1 millioner brugersessioner blev potentielt eksponeret.
For at forhindre angrebene, brugere skal straks opdatere deres macOS-systemer.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: