Программная ошибка позволяет вредоносному ПО обойти защиту MacOS

Apple Потратил лет на усиление macOS новыми функциями и, чтобы усложнить проникновение вредоносных программ. Но недавно обнаруженная ь прорвалась через большинство новых средств защиты macOS двойным щелчком вредоносного приложения, что не должно быть разрешено в рамках Appleчасы.

Хуже того, данные показывают, что печально известное семейство вредоносных программ для Mac уже несколько месяцев эксплуатирует эту уязвимость, прежде чем она была впоследствии исправлена. Apple На этой неделе.

За прошедшие годы ы Mac адаптировались для обнаружения наиболее распространенных типов вредоносных программ, создавая технические препятствия на их пути. macOS помечает потенциально вредоносные приложения, маскирующиеся под документы, загруженные из Интернета. А если macOS не проверила приложение – процесс Apple вызывает нотариальное заверение – или, если он не узнает своего разработчика, приложение не сможет работать без вмешательства пользователя.

Но исследователь безопасности Седрик Оуэнс сказал, что обнаруженная им в середине марта ошибка обходит эти проверки и позволяет запускать вредоносное приложение.

Оуэнс сказал TechCrunch, что ошибка позволила ему создать потенциально вредоносное приложение, которое выглядело бы как безобидный документ, который при открытии обходит встроенные средства защиты macOS при открытии.



«Все, что нужно сделать пользователю, – это дважды щелкнуть мышью – и никаких запросов или предупреждений macOS не генерируется», – сказал он TechCrunch. Оуэнс создал экспериментальное приложение, замаскированное под безобидный документ, которое использует ошибку для запуска приложения «Калькулятор», демонстрируя, что ошибка работает без удаления вредоносного ПО. Но злоумышленник может использовать эту уязвимость для удаленного доступа к конфиденциальным данным пользователя, просто заставив жертву открыть поддельный документ, пояснил он.

Приложение для проверки концепции, замаскированное под безобидный документ, работающее на незащищенной машине macOS. (Изображение: прилагается)

Опасаясь возможности злоумышленников использовать эту уязвимость, Оуэнс сообщил об ошибке Apple.

Apple сообщил TechCrunch, что исправил ошибку в macOS 11.3. Apple также внесены исправления в более ранние версии macOS для предотвращения злоупотреблений и внесены обновленные правила в XProtect, встроенный в macOS механизм защиты от вредоносных программ, чтобы заблокировать использование уязвимости вредоносными программами.

Оуэнс спросил исследователя безопасности Mac Патрик Уордл чтобы выяснить, как и почему работает ошибка. В сегодняшнем техническом сообщении в блоге Уордл объяснил, что уязвимость срабатывает из-за логической ошибки в базовом коде macOS. Ошибка означала, что macOS неправильно классифицирует определенные пакеты приложений и пропускает проверки безопасности, что позволяет беспрепятственно запускать экспериментальное приложение Оуэнса.

Проще говоря, приложения для macOS – это не один файл, а набор различных файлов, которые необходимы приложению для работы, включая файл списка свойств, который сообщает приложению, где находятся файлы, от которых оно зависит. Но Оуэнс обнаружил, что извлечение этого файла свойств и создание пакета с определенной структурой может обманом заставить macOS открыть пакет – и запустить код внутри – без каких-либо предупреждений.

Уордл охарактеризовал ошибку как «полностью спорную», отрисовывающую функции безопасности macOS. Он подтвердил, что AppleВ обновлениях безопасности исправлена ​​ошибка. «Обновление теперь приведет к правильной классификации приложений как пакетов и обеспечит (опять же) блокировку ненадежных, ненотаризованных приложений и, таким образом, защиту пользователя», – сказал он TechCrunch.

Зная, как работает ошибка, Уордл попросил компанию Jamf, занимающуюся безопасностью Mac, выяснить, есть ли какие-либо доказательства того, что ошибка использовалась до открытия Оуэнса. Свинец по обнаружению пробок Джарон Брэдли подтвердил, что образец вредоносного ПО Shlayer, использующего эту ошибку, был обнаружен в начале января, за несколько месяцев до открытия Оуэнса. Джамф также опубликовал технический блог о вредоносном ПО.

«Вредоносная программа, которую мы обнаружили с помощью этого метода, представляет собой обновленную версию Shlayer, семейства вредоносных программ, которое было впервые обнаружено в 2018 году. Shlayer, как известно, является одним из самых распространенных вредоносных программ для macOS, поэтому мы разработали множество способов обнаружения. для его множества вариантов, и мы внимательно следим за его развитием », – сказал Брэдли TechCrunch. «Одно из наших обнаружений предупредило нас об этом новом варианте, и при более внимательном рассмотрении мы обнаружили, что он использует этот обходной канал, позволяющий установить его без запроса конечного пользователя. Дальнейший анализ приводит нас к выводу, что разработчики вредоносного ПО обнаружили «нулевой день» и скорректировали свое вредоносное ПО для его использования в начале 2021 года ».

Shlayer – это рекламное ПО, которое перехватывает зашифрованный веб-трафик, включая сайты с поддержкой HTTPS, и внедряет собственную рекламу, зарабатывая мошеннические рекламные деньги для операторов.

«Его часто устанавливают, заставляя пользователей загружать поддельные установщики приложений или программы обновления», – сказал Брэдли. «Версия Shlayer, которая использует эту технику, делает это, чтобы избежать встроенного сканирования вредоносных программ и запускаться без дополнительных запросов« Вы уверены? », – сказал он.

«Самым интересным в этом варианте является то, что автор взял старую версию и немного изменил ее, чтобы обойти функции безопасности в macOS», – сказал Брэдли.

Уордл также опубликовал скрипт Python, который поможет пользователям обнаружить любую прошлую эксплуатацию.

Это не первый раз, когда Шлайер обходил защиту macOS. В прошлом году Уордл, работая с исследователем безопасности Питером Дантини, обнаружил образец Шлайера, который был случайно нотариально заверен Apple, процесс, при котором разработчики отправляют свои приложения в Apple для проверок безопасности, чтобы приложения могли беспрепятственно работать на миллионах компьютеров Mac.