Microsoft hat kürzlich a macOS Verwundbarkeit, identifiziert als CVE-2022-26706, Dadurch könnten speziell gestaltete Codes aus der App-Sandbox entkommen und uneingeschränkt ausgeführt werden. Die Ergebnisse wurden über die Programme „Coordinated Vulnerability Disclosure“ und „Microsoft Security Vulnerability Research“ an Apple weitergegeben.
Ein Proof-of-Concept-Code ist ebenfalls verfügbar. Zum Glück, Apple hat bereits einen Fix für CVE-2022-26706 veröffentlicht, die in den Sicherheitsupdates vom Mai enthalten war 16, 2022. Die Offenlegung wurde mit dem Sicherheitsforscher Arsenii Kostromin geteilt, der unabhängig eine ähnliche Technik aufgedeckt hat, Microsoft sagte,.
CVE-2022-26706: Technische Beschreibung
Gemäß der technischen Beschreibung der National Vulnerability Database, Die Schwachstelle ist ein Zugriffsproblem, das mit zusätzlichen Sandbox-Einschränkungen für Anwendungen von Drittanbietern behoben wird. Die Schwachstelle wurde in iPadOS behoben 15.5, watchOS 8.6, macOS Big Sur 11.6.6, macOS Monterey 12.4.
Microsoft ist auf das Problem gestoßen, als es nach Möglichkeiten gesucht hat, bösartige Makros in Microsoft Office unter macOS auszuführen und zu erkennen.
„Aus Gründen der Abwärtskompatibilität, Microsoft Word kann Dateien mit dem Präfix „~$“ lesen oder schreiben. Unsere Ergebnisse zeigten, dass es möglich war, der Sandbox zu entkommen, indem man die Launch Services von macOS nutzte, um einen open –stdin-Befehl auf einer speziell gestalteten Python-Datei mit dem besagten Präfix auszuführen,“, erklärte der Technologieriese.
Die Forschung zeigt, dass sogar das eingebaute, Grundlegende Sicherheitsfunktionen in macOS könnten immer noch umgangen werden. Zusammenarbeit zwischen Schwachstellenforschern, Software-Anbieter, und die größere Sicherheitsgemeinschaft bleibt entscheidend, um das allgemeine Benutzererlebnis zu sichern, Microsoft hinzugefügt.
Es ist bemerkenswert, dass im Juni 2022, Sicherheitsforscher entdeckt eine neue Sandbox-Ausweichtechnik. API-Hammering genannt, Die Technik beinhaltet die Verwendung einer großen Anzahl von Aufrufen an Windows-APIs, um einen erweiterten Ruhezustand zu erreichen. Letzteres hilft, der Erkennung in Sandbox-Umgebungen zu entgehen. Die Entdeckung stammt von der Einheit von Palo Alto 42 Forscher. Das Team stieß auf Zloader- und BazarLoader-Beispiele, die die besagte API-Hammering-Technik verwendeten.