Huis > Cyber ​​Nieuws > CVE-2021-30657 macOS Zero-Day Exploited by Shlayer Malware
CYBER NEWS

CVE-2021-30657 macOS Zero-Day Exploited by Shlayer Malware

CVE-2021-30657-zero-day-sensorstechforum
Apple heeft onlangs een zero-day-fout in macOS verholpen die de antimalwarebescherming van het besturingssysteem kon omzeilen. Uit het onderzoek blijkt ook dat een variant van de bekende Shlayer-malware al enkele maanden misbruik maakt van de fout.

CVE-2021-30657 Zero-Day technisch overzicht

De kwetsbaarheid is ontdekt door beveiligingsonderzoeker Cedric Owens, en is bijgehouden CVE-2021-30657. Zoals uitgelegd door Patrick Wardle die door Owens werd gevraagd om een ​​diepere analyse te geven, de kwetsbaarheid omzeilt triviaal veel Apple-kernbeveiligingsmechanismen, een grote bedreiging vormen voor Mac-gebruikers.




De exploit is getest op macOS Catalina 10.15, en eerder op Big Sur-versies 11.3. In maart is er een rapport bij Apple ingediend 25.

"Deze payload kan worden gebruikt bij phishing en het slachtoffer hoeft alleen maar te dubbelklikken om de .dmg te openen en te dubbelklikken op de nep-app in de .dmg-er worden geen pop-ups of waarschuwingen van macOS gegenereerd,”Owens toegelicht op zijn Medium blog.

Wat betreft de meer uitgebreide analyse van Wardle, het onthulde dat de CVE-2021-30657-bug drie belangrijke antimalwarebeschermingen in macOS kon omzeilen - Bestandsquarantaine, gatekeeper, en legalisatie. Het is opmerkelijk dat notarisatie de nieuwste beveiligingsfunctie van de drie is, geïntroduceerd in macOS Catalina (10.15). De functie introduceert Application Notarization die ervoor moet zorgen dat Apple alle applicaties heeft gescand en goedgekeurd voordat ze mogen worden uitgevoerd.

Triple Threat Zero-Day

Kort gezegd, de zero-day is een drievoudige bedreiging waardoor malware vrij in het systeem kan binnendringen. Om dit te doen, de exploit veroorzaakt een beweging een logische fout in de onderliggende code van macOS op een manier dat het bepaalde applicatiebundels verkeerd karakteriseert en regelmatige beveiligingscontroles overslaat, volgens de uitleg van Wardle. Dit is mogelijk vanwege de manier waarop macOS-applicaties bestanden identificeren - als bundels in plaats van verschillende bestanden. De bundels bevatten een lijst met eigenschappen die de app instrueren over de specifieke locaties van bestanden die het nodig heeft.

"Elke script-gebaseerde applicatie die geen Info.plist-bestand bevat, wordt verkeerd geclassificeerd als‘ geen bundel ’en mag dus worden uitgevoerd zonder waarschuwingen of prompts,'Voegde Wardle eraan toe.
Uit latere analyse van het bedrijf Jamf bleek dat de kwetsbaarheid al is gebruikt bij daadwerkelijke aanvallen.

“Door Shlayer-malware gedetecteerd kan een aanvaller Gatekeeper omzeilen, Beveiligingstechnologieën voor notarisatie en bestandsquarantaine in macOS. De exploit zorgt ervoor dat niet-goedgekeurde software op Mac kan worden uitgevoerd en wordt verspreid via gecompromitteerde websites of vergiftigde zoekresultaten van zoekmachines,”Bevestigden Jamf-onderzoekers.

Eerdere Shlayer Malware-aanvallen

Het Shlayer-malware was eerder bekend om Gatekeeper uit te schakelen bij aanvallen op macOS-gebruikers. Shlayer is een multi-stage malware, in staat om escalatiemogelijkheden voor privileges te verwerven. Het werd voor het eerst ontdekt in februari 2018 door Intego onderzoekers.

Het is ook opmerkelijk dat Shlayer eerder werd gedistribueerd in grootschalige malvertisingcampagnes, waarin ongeveer 1 miljoen gebruikerssessies zijn mogelijk blootgesteld.

Om de aanvallen te voorkomen, gebruikers moeten hun macOS-systemen onmiddellijk bijwerken.

Milena Dimitrova

Milena Dimitrova

Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Delen op Facebook Aandeel
Loading ...
Delen op Twitter Gekwetter
Loading ...
Delen op Google Plus Aandeel
Loading ...
Delen op Linkedin Aandeel
Loading ...
Delen op Digg Aandeel
Deel op Reddit Aandeel
Loading ...
Delen op StumbleUpon Aandeel
Loading ...