Microsoft обнаружила уязвимость в macOS, которая позволяла хакерам обходить защиту Gatekeeper.
CVE-2022042821 — шестая уязвимость, обнаруженная в Gatekeeper, инструменте Apple для защиты от вредоносных приложений.
На этой неделе Microsoft раскрыла подробности уязвимости macOS, получившей название Achilles, которую Apple уже исправила. Уязвимость, отслеживаемая как CVE-2022-42821, позволяет злоумышленникам обходить средства защиты Gatekeeper, предназначенные для защиты от вредоносных приложений.
Обнаруженная в июле 2022 года главным исследователем безопасности Microsoft Джонатаном Бар Ором, CVE-2022-42821 (CVSS 5.5) описывается как логическая ошибка, которая может помочь обойти Gatekeeper и установить вредоносное ПО на уязвимые устройства.
«Подобные обходы гейткипера могут использоваться в качестве вектора для первоначального доступа вредоносных программ и других угроз и могут помочь повысить вероятность успеха вредоносных кампаний и атак на macOS», — говорится в сообщении в блоге Microsoft Security Threat Intelligence.
Открывает новое окно.
Gatekeeper помогает пользователям macOS оставаться в безопасности, проверяя, подписаны ли и нотариально заверены ли приложения, устанавливаемые на устройстве, и, следовательно, законны и одобрены ли они Apple. Функция безопасности предназначена для предотвращения выполнения и настройки поддельных пакетов приложений, маскирующихся под Flash Player или даже файлы, такие как значки PDF.
Любому приложению, загруженному из Интернета, назначается com.apple.quarantine — функция, аналогичная Mark of the Web в Windows. Это сигнал для гейткипера проверить, не разрешена ли установка загруженного приложения, если оно не проверено.
В качестве дополнительной меры безопасности Gatekeeper также предлагает пользователю дать согласие на установку приложения, даже если оно подписано и одобрено Apple.
CVE-2022-42821 позволяет хакерам обходить гейткипера, устанавливая ограничительные списки управления доступом (ACL) с использованием специально созданных полезных данных, которые запрещают Safari, веб-загрузчикам или любой другой программе, через которую загружается приложение, задавая для атрибута com.apple.quarantine значение загруженный файл/приложение/программное обеспечение.
ACL определяют разрешения для файлов и каталогов, включая writeattr (возможность записи атрибутов в файл), writeextattr (запись расширенных атрибутов в файл), writesecurity (установка ACL для файла), chown (установка владельца файла) и удалить (возможность удалить файл).
Доказательство концепции Microsoft для CVE-2022-42821 или Achilles, названное в честь злоупотребления ACL, доступно здесь .
Открывает новое окно.
«Из-за своей важной роли в остановке вредоносных программ на macOS Gatekeeper является полезной и эффективной функцией безопасности», — добавили в Microsoft. «Однако, учитывая, что в прошлом было множество методов обхода этой функции безопасности, Gatekeeper не является пуленепробиваемым».
CVE-2022042821 — шестая уязвимость, обнаруженная в Gatekeeper. Microsoft добавила, что функция Apple Lockdown Mode не защищает от Ахиллеса.
