Грязная ошибка в macOS могла позволить хакерам обойти защиту безопасности

Грязная ошибка в macOS могла позволить хакерам обойти защиту безопасности

6 октября 2022 г.

Исследователи в области кибербезопасности обнаружили новую уязвимость в macOS, которая позволяла злоумышленникам полностью обходить встроенные решения безопасности и выполнять неподписанное и не нотариально заверенное приложение без отображения запросов безопасности.

Объявление новостей в сообщение в блоге, исследователи из Jamf Threat Labs заявили, что обнаружили уязвимость в утилите архивирования macOS, собственном приложении для архивирования macOS, аналогичном WinRAR и другим приложениям для архивирования.

Злоупотребление уязвимостью, обнаруженной в этом приложении, позволяет злоумышленникам обходить Gatekeeper и все другие проверки безопасности.

Папки на карантин

Объясняя уязвимость, отмеченную как CVE-2022-32910, Джамф сказал, что она связана с тем, как macOS обрабатывает разархивированные файлы, загруженные из Интернета.

Когда пользователь Mac загружает архив, он получает заголовок расширенного атрибута com.apple.quarantine, сигнализирующий ОС о том, что он был получен из удаленного места и должен быть проанализирован. Все, что будет извлечено, также получит тот же атрибут карантина. Ну - почти все. В некоторых случаях Утилита архивирования создает дополнительные папки, чтобы избежать путаницы:

«Когда дело доходит до пакетов приложений — Gatekeeper заботится только о том, установлен ли атрибут карантина для самого каталога приложения, и игнорирует рекурсивные файлы в пакете приложений. . Поэтому мы можем обойти Gatekeeper, убедившись, что наша папка, не помещенная в карантин, является приложением», — пояснили исследователи.

Подробнее

> Сообщается, что старые версии macOS остаются небезопасными после Apple выбрал только исправление Монтерей

> Хакеры могут использовать свой Mac для использования уязвимостей безопасности Microsoft Word

> Это лучшие службы защиты конечных точек. сильный>

«Как уже упоминалось, имя папки, содержащей наши разархивированные файлы, контролируется пользователем, поскольку утилита архивирования создает эту папку на основе имени архива без расширения. Поэтому мы можем назвать наш архив как-то вроде test.app.aar, чтобы, когда он будет разархивирован, у него была папка с именем test.app. Внутри этого приложения будет ожидаемый пакет приложений, содержащий исполняемый файл».

Чтобы уязвимость можно было использовать, имя архива должно включать расширение .app, в корне должно быть не менее двух файлов или папок. целевой каталог является архивным, так как это вызывает автоматическое переименование временного каталога, и только файлы и папки в приложении должны быть архивными, за исключением каталога test.app.

Jamf говорит, что, сообщив об этом Apple, компания исправила проблему в июле 2022 года, поэтому пользователям рекомендуется обновиться как можно скорее.

.
Оригинал

🔥 Популярное на этой неделе

⭐ Самое популярное

Categories


PREVIOUS ARTICLE
NEXT ARTICLE