Güvenlik açığı ile, Gatekeeper güvenlik kontrolleri bypass ediliyordu
Apple, imzasız ve tasdiksiz komut dosyası tabanlı uygulamaların, tam yama uygulanmış sistemlerde bile tüm macOS güvenlik koruma mekanizmalarını atlamak için yararlanabileceği bir macOS güvenlik açığını giderdi.
Gatekeeper, indirilen uygulamaların güvenlik onaylı ve geliştirici imzalı olup olmadığını doğrulamak için tasarlanmış bir macOS güvenlik özelliğidir. Her indirilen uygulama macOS üzerinde açılmak için Gatekeeper’ın kontrolünden geçmektedir.
Hedef olarak seçilen macOS sistemindeki baypas kusurunu (CVE-2021-30853) hedefleyen kötü amaçlı komut dosyası tabanlı uygulamalar başlatıldığında, saldırının ikinci aşaması olarak kötü amaçlı yükleri indirmek ve dağıtmak için kullanılabilir.
Apple, Eylül 2021’de yayınlanan ve geliştirilmiş kontroller ekleyen bir güvenlik güncellemesi aracılığıyla macOS 11.6’daki bu güvenlik açığını giderdi.
CVE-2021-30853 Gatekeeper bypass hatası Box Offensive Security Engineer Gordon Long tarafından keşfedildi ve Apple’a bildirildi.
Keşfedilen güvenlik açığında, internetten indirilen özel hazırlanmış komut dosyası tabanlı uygulamaların, otomatik olarak karantinaya alınsa bile bir uyarı göstermeden başlatılacağı tespit edildi.
Saldırı için “özel hazırlanmış” kısım, bir shebang (!#) karakteriyle başlayan ancak satırın geri kalanını boş bırakarak, Unix kabuğuna komut dosyasını bir kabuk komut yorumlayıcısı belirtmeden çalıştırmasını söyleyen bir komut dosyası kullanan bir uygulama oluşturmayı gerekli kılıyor.
Güvenlik kontrollerini (imzalama ve onay) gerçekleştirmek için AppleSystemPolicy çekirdek uzantısı tarafından otomatik olarak çağrılan syspolicyd arka plan programı bu yöntemle tetiklenmediğinden, bu uygulama Gatekeeper kontrollerini bypass etmiş olur.
Kısacası uygulama, betik bir shebang (!#) kullanıyorsa ancak açıkça bir yorumlayıcı belirtmediyse, Gatekeeper güvenlik kontrollerinden muaf hale gelir.
Güvenlik araştırmacısı Patrick Wardle, “Syspolicyd arka plan programı, çeşitli ilke denetimleri gerçekleştirecek ve nihayetinde imzasız veya onaylı olmayanlar gibi güvenilmeyen uygulamaların yürütülmesini engelleyecektir,” dedi.
“Fakat, ya AppleSystemPolicy kext, syspolicyd arka plan programının çağrılması gerekmediğine karar verirse? O zaman işleme izin verilir! Ve bu karar yanlış verilirse, o zaman bütün bu güvenlik kontrollerini bypass edebilirsiniz.”
Wardle tarafından açıklandığı gibi, tehdit aktörleri, iyi huylu görünümlü bir PDF belgesi olarak da kamufle edilebilen kötü amaçlı bir uygulamayı açmaları için hedeflerini kandırarak bu kusurdan yararlanabilir.
Bu tür kötü amaçlı yükler, zararlı arama sonuçları, sahte güncellemeler ve korsan yazılımlara bağlanan sitelerden indirilen truva atı uygulamaları dahil olmak üzere birçok yöntemle hedef sistemlere iletilebilir.
Kötü amaçlı yazılım tarafından kullanılan benzer başka hatalar da bulunuyor
Bu, Apple tarafından düzeltilen ve tehdit aktörlerinin tamamen güncel Mac’lerde Gatekeeper ve File Quarantine gibi işletim sistemi güvenlik mekanizmalarını tamamen bypass etmesine olanak tanıyan ilk macOS hatası değil.
Nisan ayında Apple, macOS otomatik güvenlik kontrollerini bypass etmek ve güvenliği ihlal edilmiş Mac’lerde ek yükler dağıtmak için Shlayer kötü amaçlı yazılım operatörleri tarafından kullanılan bir sıfır gün güvenlik açığını yamaladı.
Shlayer tehdit aktörleri, Jamf Protect tespit ekibinin keşfettiği üzere Ocak 2021’den itibaren sıfır gün hatasını (CVE-2021-30657 olarak izlenir) kullanan imzasız ve onaysız kötü amaçlı yazılımlarla macOS kullanıcılarını hedef almaya başlamıştı.
Buna ek olarak Microsoft da Ekim ayında, Sistem Bütünlüğü Korumasını (SIP) atlamak ve rastgele işlemler gerçekleştirmek, root ayrıcalıklarını yükseltmek ve güvenliği ihlal edilmiş cihazlara rootkit yüklemek için kullanılabilecek Shrootless adlı ve CVE-2021-30892 olarak izlenen bir macOS güvenlik açığı keşfetmişti.
Kaynak: bleepingcomputer.com
Diğer Haberler
Zoom, Smart Gallery Özelliği İle Yüz Yüze Toplantı Deneyimini Geliştiriyor
Microsoft Teams’e Sıra Düzeni Özelliği Geliyor
AWS, Slack ve Imgur’un da Aralarında Bulunduğu Büyük Hizmetlerde Kesintiler Yaşanıyor
