Apple heeft onlangs een zero-day-fout in macOS verholpen die de antimalwarebescherming van het besturingssysteem kon omzeilen. Uit het onderzoek blijkt ook dat een variant van de bekende Shlayer-malware al enkele maanden misbruik maakt van de fout.
CVE-2021-30657 Zero-Day technisch overzicht
De kwetsbaarheid is ontdekt door beveiligingsonderzoeker Cedric Owens, en is bijgehouden CVE-2021-30657. Zoals uitgelegd door Patrick Wardle die door Owens werd gevraagd om een diepere analyse te geven, de kwetsbaarheid omzeilt triviaal veel Apple-kernbeveiligingsmechanismen, een grote bedreiging vormen voor Mac-gebruikers.
De exploit is getest op macOS Catalina 10.15, en eerder op Big Sur-versies 11.3. In maart is er een rapport bij Apple ingediend 25.
"Deze payload kan worden gebruikt bij phishing en het slachtoffer hoeft alleen maar te dubbelklikken om de .dmg te openen en te dubbelklikken op de nep-app in de .dmg-er worden geen pop-ups of waarschuwingen van macOS gegenereerd,”Owens toegelicht op zijn Medium blog.
Wat betreft de meer uitgebreide analyse van Wardle, het onthulde dat de CVE-2021-30657-bug drie belangrijke antimalwarebeschermingen in macOS kon omzeilen - Bestandsquarantaine, gatekeeper, en legalisatie. Het is opmerkelijk dat notarisatie de nieuwste beveiligingsfunctie van de drie is, geïntroduceerd in macOS Catalina (10.15). De functie introduceert Application Notarization die ervoor moet zorgen dat Apple alle applicaties heeft gescand en goedgekeurd voordat ze mogen worden uitgevoerd.
Triple Threat Zero-Day
Kort gezegd, de zero-day is een drievoudige bedreiging waardoor malware vrij in het systeem kan binnendringen. Om dit te doen, de exploit veroorzaakt een beweging een logische fout in de onderliggende code van macOS op een manier dat het bepaalde applicatiebundels verkeerd karakteriseert en regelmatige beveiligingscontroles overslaat, volgens de uitleg van Wardle. Dit is mogelijk vanwege de manier waarop macOS-applicaties bestanden identificeren - als bundels in plaats van verschillende bestanden. De bundels bevatten een lijst met eigenschappen die de app instrueren over de specifieke locaties van bestanden die het nodig heeft.
"Elke script-gebaseerde applicatie die geen Info.plist-bestand bevat, wordt verkeerd geclassificeerd als‘ geen bundel ’en mag dus worden uitgevoerd zonder waarschuwingen of prompts,'Voegde Wardle eraan toe.
Uit latere analyse van het bedrijf Jamf bleek dat de kwetsbaarheid al is gebruikt bij daadwerkelijke aanvallen.
“Door Shlayer-malware gedetecteerd kan een aanvaller Gatekeeper omzeilen, Beveiligingstechnologieën voor notarisatie en bestandsquarantaine in macOS. De exploit zorgt ervoor dat niet-goedgekeurde software op Mac kan worden uitgevoerd en wordt verspreid via gecompromitteerde websites of vergiftigde zoekresultaten van zoekmachines,”Bevestigden Jamf-onderzoekers.
Eerdere Shlayer Malware-aanvallen
Het Shlayer-malware was eerder bekend om Gatekeeper uit te schakelen bij aanvallen op macOS-gebruikers. Shlayer is een multi-stage malware, in staat om escalatiemogelijkheden voor privileges te verwerven. Het werd voor het eerst ontdekt in februari 2018 door Intego onderzoekers.
Het is ook opmerkelijk dat Shlayer eerder werd gedistribueerd in grootschalige malvertisingcampagnes, waarin ongeveer 1 miljoen gebruikerssessies zijn mogelijk blootgesteld.
Om de aanvallen te voorkomen, gebruikers moeten hun macOS-systemen onmiddellijk bijwerken.