WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Lỗi trong macOS cho phép mã độc vượt qua tính năng bảo mật
Tuần trước, Apple đã giải quyết lỗ hổng có tên Achilles (CVE-2022-42821) trong macOS 13 (Ventura), macOS 12.6.2 (Monterey) và macOS 1.7.2 (Big Sur). Lỗ hổng có thể bị lợi dụng để triển khai phần mềm độc hại trên các thiết bị macOS bị ảnh hưởng thông qua các ứng dụng không đáng tin cậy, có khả năng vượt qua các hạn chế của Gatekeeper.
Gatekeeper là một tính năng bảo mật của macOS, tự động kiểm tra tất cả các ứng dụng được tải xuống từ Internet nếu chúng được công chứng và có chữ ký của nhà phát triển (được Apple phê duyệt), yêu cầu người dùng xác nhận trước khi khởi chạy hoặc đưa ra cảnh báo rằng ứng dụng không đáng tin cậy.
Điều này đạt được bằng cách kiểm tra một thuộc tính mở rộng có tên com.apple.quarantine mà các trình duyệt web gán cho tất cả các tệp đã tải xuống, tương tự như Mark of the Web trong Windows.
Lỗ hổng Achilles cho phép các tải trọng được tạo đặc biệt lạm dụng một vấn đề logic để đặt quyền trong Danh sách kiểm soát truy cập (ACL) hạn chế, chặn các trình duyệt web và trình tải xuống Internet đặt thuộc tính com.apple.quarantine cho tải trọng đã tải xuống được lưu dưới dạng tệp ZIP.
Do đó, ứng dụng độc hại có trong tải trọng độc hại sẽ khởi chạy trên hệ thống mục tiêu thay vì bị Gatekeeper chặn, cho phép kẻ tấn công tải xuống và triển khai phần mềm độc hại.
Người dùng được khuyến cáo cập nhật lên phiên bản sửa lỗi càng sớm càng tốt.
Đây chỉ là một trong nhiều cách vượt qua Gatekeeper được tìm thấy trong vài năm trở lại đây. Nhiều cách trong số đó đã bị hacker lạm dụng để phá vỡ các cơ chế bảo mật của macOS như Gatekeeper, File Quarantine, và System Integrity Protection (SIP) trên các máy Mac được cập nhật bản vá đầy đủ.
Gatekeeper là một tính năng bảo mật của macOS, tự động kiểm tra tất cả các ứng dụng được tải xuống từ Internet nếu chúng được công chứng và có chữ ký của nhà phát triển (được Apple phê duyệt), yêu cầu người dùng xác nhận trước khi khởi chạy hoặc đưa ra cảnh báo rằng ứng dụng không đáng tin cậy.
Điều này đạt được bằng cách kiểm tra một thuộc tính mở rộng có tên com.apple.quarantine mà các trình duyệt web gán cho tất cả các tệp đã tải xuống, tương tự như Mark of the Web trong Windows.
Lỗ hổng Achilles cho phép các tải trọng được tạo đặc biệt lạm dụng một vấn đề logic để đặt quyền trong Danh sách kiểm soát truy cập (ACL) hạn chế, chặn các trình duyệt web và trình tải xuống Internet đặt thuộc tính com.apple.quarantine cho tải trọng đã tải xuống được lưu dưới dạng tệp ZIP.
Do đó, ứng dụng độc hại có trong tải trọng độc hại sẽ khởi chạy trên hệ thống mục tiêu thay vì bị Gatekeeper chặn, cho phép kẻ tấn công tải xuống và triển khai phần mềm độc hại.
Người dùng được khuyến cáo cập nhật lên phiên bản sửa lỗi càng sớm càng tốt.
Đây chỉ là một trong nhiều cách vượt qua Gatekeeper được tìm thấy trong vài năm trở lại đây. Nhiều cách trong số đó đã bị hacker lạm dụng để phá vỡ các cơ chế bảo mật của macOS như Gatekeeper, File Quarantine, và System Integrity Protection (SIP) trên các máy Mac được cập nhật bản vá đầy đủ.
Theo Bleeping Computer