-
09/04/2020
-
93
-
604 bài viết
Lỗ hổng trên macOS có thể cho phép mã độc qua mặt Gatekeeper
Mới đây, ông lớn Apple đã sửa một lỗ hổng an ninh trong hệ điều hành macOS có khả năng bị hacker khai thác nhằm qua mặt "vô số cơ chế an ninh của macOS cơ bản" và chạy mã tùy ý.
Nhà nghiên cứu an ninh mạng Patrick Wardle đã trình bày chi tiết về việc phát hiện lỗ hổng này trong một loạt các bài tweet vào thứ năm. Có mã định danh là CVE-2021-30853 (điểm CVSS: 5.5), lỗ hổng liên quan đến tình huống trong đó một ứng dụng macOS giả mạo có thể qua mặt Gatekeeper (quy trình đảm bảo rằng chỉ những ứng dụng đáng tin cậy mới có thể được cài đặt) và vượt qua tiến trình chạy tự động có tên gọi "app notarization”.
Nhà sản xuất iPhone cho biết họ đã khắc phục lỗ hổng trong bản cập nhật macOS 11.6 được phát hành chính thức vào ngày 20 tháng 9 năm 2021.
"Những lỗi như vậy đặc biệt ảnh hưởng đến người dùng macOS thường xuyên vì chúng cung cấp phương tiện để các phần mềm quảng cáo và phần mềm độc hại “luồn lách” qua các cơ chế an ninh của macOS” - Wardle cho biết trong một bài viết kỹ thuật về lỗ hổng này.
Cụ thể, lỗi không chỉ xuất hiện trong Gatekeeper mà còn ở cả File Quarantine và yêu cầu chứng thực của macOS, cho phép một tệp PDF tưởng như vô hại có thể xâm phạm toàn bộ hệ thống chỉ bằng cách mở nó. Theo Wardle, lỗ hổng bắt nguồn từ thực tế là một ứng dụng dựa trên tập lệnh không được ký, không được công chứng không thể chỉ định rõ ràng một trình thông dịch, dẫn đến việc bị bypass hoàn toàn.
Chúng ta vẫn biết chỉ thị thông dịch shebang - ví dụ: #! / Bin / sh hoặc #! / Bin / bash - thường được sử dụng để phân tích cú pháp và diễn giải một chương trình shell. Nhưng trong cuộc tấn công này, kẻ tấn công có thể tạo ra một ứng dụng sao cho dòng shebang được kết hợp mà không cần cung cấp trình thông dịch (ví dụ: #!) và vẫn khiến hệ điều hành cơ bản khởi chạy tập lệnh mà không cần đưa ra bất kỳ cảnh báo nào.
Nói cách khác, hacker có thể khai thác lỗ hổng này bằng cách lừa nạn nhân mở một ứng dụng giả mạo dưới dạng các bản cập nhật Adobe Flash Player hoặc các phiên bản trojan hóa của các ứng dụng hợp pháp như Microsoft Office, do đó, có thể được phân phối thông qua một phương thức được gọi là đầu độc tìm kiếm. Những kẻ tấn công sẽ tăng thứ hạng trên các công cụ tìm kiếm của các trang web lưu trữ phần mềm độc hại để thu hút các nạn nhân.
Đây không phải là lần đầu tiên lỗi được phát hiện trong quy trình Gatekeeper. Đầu tháng 4 này, Apple đã nhanh chóng tiến hành vá một lỗ hổng zero-day (CVE-2021-30657) được khai thác tích cực có thể qua mặt tất cả các biện pháp an ninh, cho phép phần mềm chưa được phê duyệt chạy trên máy Mac.
Sau đó vào tháng 10, Microsoft đã tiết lộ một lỗ hổng có tên "Shrootless" (CVE-2021-30892), có thể bị lợi dụng để thực hiện các hoạt động tùy ý, nâng cao đặc quyền root và cài đặt rootkit trên các thiết bị bị xâm phạm. Apple cho biết họ đã khắc phục sự cố trong bản cập nhật an ninh được phát hành vào ngày 26 tháng 10 năm 2021.
Nhà nghiên cứu an ninh mạng Patrick Wardle đã trình bày chi tiết về việc phát hiện lỗ hổng này trong một loạt các bài tweet vào thứ năm. Có mã định danh là CVE-2021-30853 (điểm CVSS: 5.5), lỗ hổng liên quan đến tình huống trong đó một ứng dụng macOS giả mạo có thể qua mặt Gatekeeper (quy trình đảm bảo rằng chỉ những ứng dụng đáng tin cậy mới có thể được cài đặt) và vượt qua tiến trình chạy tự động có tên gọi "app notarization”.
Nhà sản xuất iPhone cho biết họ đã khắc phục lỗ hổng trong bản cập nhật macOS 11.6 được phát hành chính thức vào ngày 20 tháng 9 năm 2021.
"Những lỗi như vậy đặc biệt ảnh hưởng đến người dùng macOS thường xuyên vì chúng cung cấp phương tiện để các phần mềm quảng cáo và phần mềm độc hại “luồn lách” qua các cơ chế an ninh của macOS” - Wardle cho biết trong một bài viết kỹ thuật về lỗ hổng này.
Cụ thể, lỗi không chỉ xuất hiện trong Gatekeeper mà còn ở cả File Quarantine và yêu cầu chứng thực của macOS, cho phép một tệp PDF tưởng như vô hại có thể xâm phạm toàn bộ hệ thống chỉ bằng cách mở nó. Theo Wardle, lỗ hổng bắt nguồn từ thực tế là một ứng dụng dựa trên tập lệnh không được ký, không được công chứng không thể chỉ định rõ ràng một trình thông dịch, dẫn đến việc bị bypass hoàn toàn.
Chúng ta vẫn biết chỉ thị thông dịch shebang - ví dụ: #! / Bin / sh hoặc #! / Bin / bash - thường được sử dụng để phân tích cú pháp và diễn giải một chương trình shell. Nhưng trong cuộc tấn công này, kẻ tấn công có thể tạo ra một ứng dụng sao cho dòng shebang được kết hợp mà không cần cung cấp trình thông dịch (ví dụ: #!) và vẫn khiến hệ điều hành cơ bản khởi chạy tập lệnh mà không cần đưa ra bất kỳ cảnh báo nào.
Nói cách khác, hacker có thể khai thác lỗ hổng này bằng cách lừa nạn nhân mở một ứng dụng giả mạo dưới dạng các bản cập nhật Adobe Flash Player hoặc các phiên bản trojan hóa của các ứng dụng hợp pháp như Microsoft Office, do đó, có thể được phân phối thông qua một phương thức được gọi là đầu độc tìm kiếm. Những kẻ tấn công sẽ tăng thứ hạng trên các công cụ tìm kiếm của các trang web lưu trữ phần mềm độc hại để thu hút các nạn nhân.
Đây không phải là lần đầu tiên lỗi được phát hiện trong quy trình Gatekeeper. Đầu tháng 4 này, Apple đã nhanh chóng tiến hành vá một lỗ hổng zero-day (CVE-2021-30657) được khai thác tích cực có thể qua mặt tất cả các biện pháp an ninh, cho phép phần mềm chưa được phê duyệt chạy trên máy Mac.
Sau đó vào tháng 10, Microsoft đã tiết lộ một lỗ hổng có tên "Shrootless" (CVE-2021-30892), có thể bị lợi dụng để thực hiện các hoạt động tùy ý, nâng cao đặc quyền root và cài đặt rootkit trên các thiết bị bị xâm phạm. Apple cho biết họ đã khắc phục sự cố trong bản cập nhật an ninh được phát hành vào ngày 26 tháng 10 năm 2021.
Nguồn: The Hacker News
Chỉnh sửa lần cuối: