Apple, MacOS’taki Gatekeeper Güvenlik Açığını Düzeltti

Apple, imzasız ve noter tasdikli olmayan komut dosyası tabanlı uygulamaların, tam yama uygulanmış sistemlerde bile tüm macOS güvenlik koruma mekanizmalarını atlamak için yararlanabileceği bir macOS güvenlik açığını giderdi.

Onlar atlatan varsa noter güvenlik kontrolleri otomatik (zararlı bileşenler ve kod imzalama sorunlar için tarar olan), uygulamalar tarafından başlatılması için izin verilen Gatekeeper , indirilen uygulamalar noter ve geliştirici imzalı olup olmadığını doğrulamak için tasarlanmış bir MacOS güvenlik özelliği.

Bir hedefin sisteminde baypas kusurunu ( CVE-2021-30853 ) hedefleyen kötü amaçlı komut dosyası tabanlı uygulamalar başlatıldığında, saldırganlar tarafından ikinci aşama kötü amaçlı yükleri indirmek ve dağıtmak için kullanılabilir.

Apple, Eylül 2021'de yayınlanan ve geliştirilmiş kontroller ekleyen bir güvenlik güncellemesi aracılığıyla macOS 11.6'daki bu güvenlik açığını giderdi .

Bir shebang ile kapı bekçisi baypas

CVE-2021-30853 Gatekeeper atlama hatası Box Offensive Security Engineer Gordon Long tarafından keşfedildi ve Apple'a bildirildi.

İnternetten indirilen özel hazırlanmış komut dosyası tabanlı uygulamaların, otomatik olarak karantinaya alınsa bile bir uyarı göstermeden başlatılacağını buldu.

"Özel hazırlanmış" kısım, shebang (!#) karakteriyle başlayan ancak satırın geri kalanını boş bırakarak, Unix kabuğuna komut dosyasını bir kabuk komut yorumlayıcısı belirtmeden çalıştırmasını söyleyen bir komut dosyası kullanan bir uygulama oluşturmayı gerektirir.

Güvenlik kontrollerini (imzalama ve noter onayı) gerçekleştirmek için AppleSystemPolicy çekirdek uzantısı tarafından otomatik olarak çağrılan syspolicyd arka plan programı artık bir yorumlayıcı belirtmeden bir komut dosyası başlatılırken denetim için tetiklenmediğinden, bu bir Gatekeeper atlamasına yol açar.

Temel olarak, betik bir shebang (!#) kullanıyorsa ancak açıkça bir yorumlayıcı belirtmediyse, Gatekeeper güvenlik kontrollerini atlayacaktır.

Güvenlik araştırmacısı Patrick Wardle , "Syspolicyd arka plan programı, çeşitli ilke denetimleri gerçekleştirecek ve nihayetinde imzasız veya noter onaylı olmayanlar gibi güvenilmeyen uygulamaların yürütülmesini engelleyecektir," dedi .

"Fakat, ya AppleSystemPolicy kext, syspolicyd arka plan programının çağrılması gerekmediğine karar verirse? O zaman işleme izin verilir! Ve bu karar yanlış verilirse, o zaman, güzel bir Dosya Karantinası, Kapı Bekçisi ve noter onayınız olur."

Wardle tarafından açıklandığı gibi, tehdit aktörleri, iyi huylu görünümlü bir PDF belgesi olarak da kamufle edilebilen kötü amaçlı bir uygulamayı açmaları için hedeflerini kandırarak bu kusurdan yararlanabilir.

Bu tür kötü amaçlı yükler, zehirli arama sonuçları, sahte güncellemeler ve korsan yazılımlara bağlanan sitelerden indirilen truva atı uygulamaları dahil olmak üzere birçok yöntemle hedef sistemlerine iletilebilir.

Kötü amaçlı yazılım tarafından kullanılan benzer hatalar

Bu, Apple tarafından düzeltilen ve tehdit aktörlerinin tamamen yamalı Mac'lerde Gatekeeper ve File Quarantine gibi işletim sistemi güvenlik mekanizmalarını tamamen atlatmasına olanak tanıyan ilk macOS hatası değil.

Nisan ayında Apple, macOS otomatik güvenlik kontrollerini atlamak ve güvenliği ihlal edilmiş Mac'lerde ek yükler dağıtmak için Shlayer kötü amaçlı yazılım operatörleri tarafından vahşi ortamda kullanılan bir sıfır gün güvenlik açığını yamaladı .

Shlayer tehdit aktörleri, Jamf Protect tespit ekibinin keşfettiği üzere Ocak 2021'den itibaren sıfır gün hatasını ( CVE-2021-30657 olarak izlenen) kullanan imzasız ve noter onaylı olmayan kötü amaçlı yazılımlarla macOS kullanıcılarını hedef almaya başladı .

Microsoft ayrıca Ekim ayında, Sistem Bütünlüğü Korumasını (SIP) atlamak ve rastgele işlemler gerçekleştirmek, root ayrıcalıklarını yükseltmek ve güvenliği ihlal edilmiş cihazlara rootkit yüklemek için kullanılabilecek Shrootless adlı ve CVE-2021-30892 olarak izlenen bir macOS güvenlik açığı keşfetti .

Apple, Shrootless hatasını yamaladıktan sonra yayınlanan bir güvenlik tavsiyesinde , "Kötü amaçlı bir uygulama dosya sisteminin korunan kısımlarını değiştirebilir" dedi.


Kaynak: https://www.bleepingcomputer.com/news/apple/apple-fixes-macos-security-flaw-behind-gatekeeper-bypass/


Bu içerik ilginizi çektiyse LinkedIn ve Twitter hesaplarımı takip edebilir, daha fazla içeriğe erişebilirsiniz.


E-posta listesine katılın

Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.

Haber bültenine kaydolduğunuz için teşekkürler!

Something went wrong.

Yorum Bırakın

Apple, MacOS'taki Gatekeeper Güvenlik Açığını Düzeltti