Expertné podrobnosti o chybe macOS, ktorá by mohla malvéru umožniť obísť zabezpečenie Gatekeepera

Apple nedávno opravil bezpečnostnú chybu v operačnom systéme macOS, ktorú by mohol potenciálne zneužiť aktér hrozby na „triviálne a spoľahlivé“ obídenie „nespočetných základných bezpečnostných mechanizmov macOS“ a spustenie ľubovoľného kódu.

Bezpečnostný výskumník Patrick Wardle tento objav podrobne opísal vo štvrtok v sérii tweetov. Sledované ako CVE-2021-30853 (skóre CVSS: 5.5), problém sa týka scenára, v ktorom môže nečestná aplikácia pre macOS obísť kontroly Gatekeepera, ktoré zaisťujú, že je možné spúšťať iba dôveryhodné aplikácie a že prešli automatizovaným procesom nazývaným „notárske overenie aplikácie“.

Výrobca iPhone, ktorý nahlásil chybu Gordonovi Longovi z Box, uviedol, že túto slabinu vyriešil vylepšenými kontrolami ako súčasť macOS 11.6 aktualizácie oficiálne vydané 20. septembra 2021.

„Takéto chyby majú často veľký vplyv na každodenných používateľov macOS, pretože poskytujú autorom advéru a malvéru prostriedky na obídenie bezpečnostných mechanizmov macOS, … mechanizmov, ktoré by inak zmarili pokusy o infekciu,“ uviedol Wardle v technickom zápise chyby.

Chyba sa týka nielen Gatekeepera, ale aj karantény súborov a notárskych požiadaviek systému macOS, čo efektívne umožňuje zdanlivo neškodnému súboru PDF kompromitovať celý systém jednoduchým otvorením. Podľa Wardlea je problém spôsobený skutočnosťou, že nepodpísaná, notársky overená aplikácia založená na skripte môže nie explicitne špecifikovať tlmočníka, čo vedie k úplnému obídeniu.

Stojí za zmienku, že direktíva tlmočníka shebang — napr. #!/bin/sh alebo #!/bin/bash — sa zvyčajne používa na analýzu a interpretáciu programu shellu. Ale v tomto útoku na okraj môže protivník vytvoriť aplikáciu tak, že riadok Shebang bude začlenený bez poskytnutia tlmočníka (tj #!) a stále prinúti základný operačný systém, aby spustil skript bez toho, aby vyvolal akékoľvek upozornenie.

Je to tak preto, že „macOS sa (znova) pokúsi vykonať zlyhanie [‘interpreter-less’ script-based app] cez shell (‘/bin/sh’)“ po počiatočnom neúspechu, vysvetlil Wardle.

Inými slovami, aktéri hrozieb môžu túto chybu zneužiť tak, že oklamú svoje ciele a otvoria nečestnú aplikáciu, ktorú možno maskovať ako aktualizácie prehrávača Adobe Flash Player alebo trojanizované verzie legitímnych aplikácií, ako je Microsoft Office, ktoré je zase možné dodať prostredníctvom metódy tzv. otrava vyhľadávaním, pri ktorej útočníci umelo zvyšujú hodnotenie webových stránok, na ktorých sa nachádza ich malvér, vo vyhľadávačoch, aby prilákali potenciálne obete.

Nie je to prvýkrát, čo boli v procese Gatekeepera objavené chyby. Začiatkom apríla, Apple sa presunul k rýchlej oprave vtedy aktívne využívanej chyby zero-day (CVE-2021-30657), ktorá mohla obísť všetky bezpečnostné ochrany a umožnila tak spustenie neschváleného softvéru na počítačoch Mac.

V októbri potom spoločnosť Microsoft odhalila zraniteľnosť s názvom „Shrootless“ (CVE-2021-30892), ktorú možno využiť na vykonávanie ľubovoľných operácií, povýšenie privilégií na root a inštaláciu rootkitov na napadnuté zariadenia. Apple uviedla, že problém vyriešila dodatočnými obmedzeniami v rámci bezpečnostných aktualizácií vydaných 26. októbra 2021.