MacOS-вредоносы просачиваются сквозь слепые зоны в операционной системы

8 июня 2022 г. 11:40
 360

Уязвимости macOS возникли из-за незамеченных фрагментов кода.

Специалист по безопасности продуктов Apple Патрик Уордл рассказал участникам конференции RSA Conference 2022, что некоторые из самых серьезных уязвимостей безопасности операционной системы macOS возникли из-за незамеченных фрагментов кода.

Патрик Уордл, основатель Objective-See Foundation и известный исследователь безопасности iOS и macOS, рассказал об угрозах macOS на конференции RSA Conference 2022 в Сан-Франциско в понедельник. Уордл рассказал слушателям, что зачастую уязвимости, необходимые злоумышленникам для компрометации Mac, появляются не в результате неустанной работы по взлому приложений и реинжинирингу кода, а в результате работы в «слепых зонах» технологического гиганта.

В качестве иллюстрации Уордл привел две уязвимости, CVE-2021-30657 и CVE-2021-30853, которые не связаны с техническими уязвимостями macOS, а скорее с лазейками в логике операционной системы, позволяющими приложениям делать то, чего они делать не должны.

В случае с CVE-2021-30657 злоумышленник мог обойти проверки безопасности, которые обычно обеспечивает Apple, просто удалив один файл. Уордл обнаружил, что когда определенные типы приложений не содержат файл info.plist, они не подвергаются сканированию с помощью инструментов, которые Apple обычно использует для отсеивания опасных приложений.

По словам Уордла, проблема кроется в том, как macOS работает со скриптованными приложениями. Если приложение создано без файла info.plist, то для его запуска используются вторичные инструменты, которые не проходят обычные проверки безопасности.

«С точки зрения Finder и системы, это приложение» - пояснил Уордл. «Поскольку в нем отсутствовал файл info.plist, система сказала, что проблем нет».

В результате вредоносное ПО для macOS могло потенциально работать в системе, не будучи пойманным собственными инструментами безопасности и проверками Apple. Уордл отметил, что в прошлом году уязвимость CVE-2021-30657 была использована как уязвимость нулевого дня в реальных кибератаках.

Аналогичным образом, CVE-2021-30853 была связана с проблемой способа проверки приложений macOS при запуске.

С помощью этого дефекта злоумышленник мог изменить путь скрипта в приложении, чтобы заставить расширения безопасности Apple оставить ключевые переменные как «null». Когда эти переменные установлены, проверка того, является ли приложение авторизованным и безопасным для запуска, не выполняется, и в результате проверка вредоносного ПО может не произойти.

В обоих случаях ошибки требуют от пользователей загрузки и открытия приложений, поэтому атака в определенной степени зависит от социальной инженерии, что делает риск менее серьезным. Тем не менее, учитывая относительное отсутствие угроз вредоносного ПО на macOS по сравнению с Windows и Linux, пользователи могут быть более беспечны при запуске ненадежных приложений.

Об обеих ошибках было сообщено Apple в прошлом году, и с тех пор они были исправлены.

Эти две уязвимости показывают, что macOS может оказаться под атаками вредоносных программ не из-за ошибок в коде, а из-за лазеек в логике, которая развивалась десятилетиями.

«У macOS все еще довольно слабая защита» - заявил Уордл. «Обе эти уязвимости не были найдены с помощью сложного фаззинга; проблемы были обнаружены случайно».

Для защиты от вредоносных программ для macOS, основанных на скриптах, Уордл предложил один простой совет: Пользователи должны блокировать любую загрузку недоверенного кода. Сервис подписи кода Apple, представляющий собой автоматизированную проверку на наличие вредоносных элементов и проблем с подписанием кода, позволяет разработчикам получить своего рода «печать одобрения» программного обеспечения от Apple.

Кроме того, Уордл призвал пользователей macOS включить автоматическое обновление операционной системы и развернуть продукт для обнаружения атак на конечных точках, ориентированный на Mac.

 

Источник: https://www.techtarget.com

Системы Информационной Безопасности