Apple hat kürzlich einen Zero-Day-Fehler in macOS behoben, der den Anti-Malware-Schutz des Betriebssystems umgehen könnte. Die Forschung zeigt auch, dass eine Variante der bekannten Shlayer-Malware den Fehler bereits seit mehreren Monaten ausnutzt.
CVE-2021-30657 Technischer Zero-Day-Überblick
Die Sicherheitslücke wurde vom Sicherheitsforscher Cedric Owens entdeckt, und wurde CVE-2021-30657 verfolgt. Wie von Patrick Wardle erklärt, der von Owens gebeten wurde, eine tiefere Analyse zu liefern, Die Sicherheitsanfälligkeit umgeht trivial viele wichtige Sicherheitsmechanismen von Apple, eine große Bedrohung für Mac-Benutzer.
Der Exploit wurde unter macOS Catalina getestet 10.15, und auf Big Sur Versionen vor 11.3. Ein Bericht wurde Apple im März vorgelegt 25.
„Diese Nutzdaten können beim Phishing verwendet werden. Das Opfer muss lediglich doppelklicken, um die .dmg zu öffnen, und auf die gefälschte App innerhalb der .dmg doppelklicken. Es werden keine Popups oder Warnungen von macOS generiert,Owens erklärt auf seinem Medium Blog.
Was die ausführlichere Analyse von Wardle betrifft, Es zeigte sich, dass der CVE-2021-30657-Fehler drei wichtige Anti-Malware-Schutzfunktionen in macOS umgehen konnte - File Quarantine, Pförtner, und Beglaubigung. Es ist bemerkenswert, dass die Beglaubigung das neueste Sicherheitsmerkmal der drei ist, eingeführt in macOS Catalina (10.15). Mit dieser Funktion wird die Anwendungsnotarisierung eingeführt, mit der sichergestellt werden soll, dass Apple alle Anwendungen gescannt und genehmigt hat, bevor sie ausgeführt werden dürfen.
Dreifacher Bedrohungs-Zero-Day
Kurz gesagt, Der Zero-Day ist eine dreifache Bedrohung, mit der Malware frei in das System gelangen kann. Um dies zu tun, Der Exploit löst einen logischen Fehler im zugrunde liegenden Code von macOS aus, der bestimmte Anwendungspakete falsch charakterisiert und regelmäßige Sicherheitsüberprüfungen überspringt, nach Wardles Erklärung. Dies ist möglich, weil MacOS-Anwendungen Dateien identifizieren - als Bundles anstelle verschiedener Dateien. Die Bundles enthalten eine Liste von Eigenschaften, die die App über die spezifischen Speicherorte der benötigten Dateien informieren.
„Jede skriptbasierte Anwendung, die keine Info.plist-Datei enthält, wird als„ kein Bundle “falsch klassifiziert und kann daher ohne Warnungen oder Eingabeaufforderungen ausgeführt werden,Fügte Wardle hinzu.
Spätere Analysen der Firma Jamf ergaben, dass die Sicherheitsanfälligkeit bereits bei tatsächlichen Angriffen ausgenutzt wurde.
„Durch die erkannte Shlayer-Malware kann ein Angreifer Gatekeeper umgehen, Notarisierung und Dateiquarantäne-Sicherheitstechnologien in macOS. Der Exploit ermöglicht die Ausführung nicht genehmigter Software auf einem Mac und wird über kompromittierte Websites oder vergiftete Suchmaschinenergebnisse verbreitet,Jamf-Forscher bestätigten.
Vorherige Shlayer-Malware-Angriffe
Die Shlayer-Malware Es war bereits bekannt, Gatekeeper bei Angriffen gegen MacOS-Benutzer zu deaktivieren. Shlayer ist ein mehrstufiger Malware, fähig, Privilegieneskalationsfähigkeiten zu erwerben. Es wurde erstmals im Februar entdeckt 2018 von Intego Forscher.
Es ist auch bemerkenswert, dass Shlayer zuvor in verteilt worden war groß angelegte Werbekampagnen, in dem ungefähr 1 Millionen Benutzersitzungen wurden möglicherweise ausgesetzt.
Um die Angriffe zu verhindern, Benutzer sollten ihre macOS-Systeme sofort aktualisieren.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: