Appleは最近、オペレーティングシステムのマルウェア対策保護をバイパスする可能性のあるmacOSのゼロデイ欠陥を修正しました. この調査では、有名なShlayerマルウェアの亜種がすでに数か月間この欠陥を悪用していることも示されています。.
CVE-2021-30657ゼロデイ技術概要
この脆弱性は、セキュリティ研究者のCedricOwensによって発見されました。, 追跡されていますCVE-2021-30657. オーエンスからより深い分析を提供するように頼まれたパトリック・ワードルによって説明されたように, この脆弱性は、Appleのコアセキュリティメカニズムの多くを簡単に回避します。, Macユーザーに大きな脅威をもたらす.
このエクスプロイトはmacOSCatalinaでテストされています 10.15, 以前のBigSurバージョンでは 11.3. 3月にAppleにレポートが提出されました 25.
「このペイロードはフィッシングに使用でき、被害者はダブルクリックして.dmgを開き、.dmg内の偽のアプリをダブルクリックするだけです。ポップアップやmacOSからの警告は生成されません。,」オーエンス 説明 彼のMediumブログで.
Wardleのより広範な分析について, CVE-2021-30657のバグが、macOSの3つの主要なマルウェア対策保護であるファイル検疫を回避できることが明らかになりました。, ゲートキーパー, と公証. 公証が3つの最新のセキュリティ機能であることは注目に値します, macOSCatalinaで導入されました (10.15). この機能は、アプリケーションの公証を導入します。これにより、Appleがすべてのアプリケーションをスキャンして承認してから、実行を許可する必要があります。.
トリプル脅威ゼロデイ
すぐに言った, ゼロデイは、マルウェアがシステムに自由に侵入することを可能にする三重の脅威です. そうするために, このエクスプロイトは、特定のアプリケーションバンドルの特性を誤解し、定期的なセキュリティチェックをスキップする方法で、macOSの基盤となるコードのロジックバグを引き起こします。, ウォードルの説明によると. これは、macOSアプリケーションがファイルを識別する方法のために可能です–異なるファイルではなくバンドルとして. バンドルには、必要なファイルの特定の場所についてアプリに指示するプロパティのリストが含まれています.
「Info.plistファイルを含まないスクリプトベースのアプリケーションは、「バンドルではない」と誤って分類されるため、アラートやプロンプトなしで実行できます。,」ウォードルが追加されました.
Jamf社が提供した後の分析では、この脆弱性は実際の攻撃ですでに使用されていることが明らかになりました.
「検出されたShlayerマルウェアにより、攻撃者はGatekeeperをバイパスできます, macOSの公証およびファイル検疫セキュリティテクノロジー. このエクスプロイトにより、未承認のソフトウェアをMacで実行でき、侵害されたWebサイトまたは汚染された検索エンジンの結果を介して配布されます。,」Jamfの研究者は確認しました.
以前のShlayerマルウェア攻撃
The Shlayerマルウェア macOSユーザーに対する攻撃でゲートキーパーを無効にすることが以前から知られています. Shlayerは多段階のマルウェアです, 特権昇格機能を取得できる. 2月に最初に発見されました 2018 インテゴの研究者による.
Shlayerが以前に配布されていたことも注目に値します 大規模なマルバタイジングキャンペーン, およそ 1 百万のユーザーセッションが潜在的に公開された.
攻撃を防ぐために, ユーザーはmacOSシステムをすぐに更新する必要があります.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: