Баг в macOS Mojave может привести к компрометации системы
Уязвимость в актуальной версии ОС для компьютеров Apple позволяет злоумышленнику с минимальными правами обойти защитные механизмы и выполнить вредоносный код. К такому выводу пришел ИБ-специалист Патрик Уордл (Patrick Wardle), рассказавший о баге на конференции Objective By The Sea. Проблема связана с некорректной работой списка доверенных приложений, способных делать виртуальные клики без явного согласия пользователя.
Как утверждает эксперт, несмотря на то, что в актуальной версии macOS подобные «синтетические» манипуляции сопровождаются обязательным подтверждением через диалоговую форму, существует перечень программ, для которых это правило не действует, например медиаплеер VLC. Список хранится в файле AllowApplications.plist и является частью механизма Transparency Consent and Control (TCC), предназначенного для управления обменом данными между приложениями.
Программы из этого списка могут инициировать виртуальные клики без согласия пользователя. Легитимность приложения контролируется при помощи цифрового сертификата разработчика, которым подписан исходный код. Однако, по мнению Уордла, этих мер недостаточно. Как указывает специалист, система не выполняет аналогичную проверку для исполняемых файлов и ресурсов, используемых приложением.
Таким образом, злоумышленник может расширить функции программы — например, добавив к ней вредоносный плагин. С точки зрения macOS, это будет все то же легитимное приложение, поскольку его исходный код остался тем же. ИБ-эксперт считает, что уязвимость позволяет киберпреступнику расширить привилегии на уже зараженной системе.
При помощи виртуальных кликов злоумышленник способен выполнить в системе сторонний код, перехватить управление веб-камерой и микрофоном или скопировать список контактов жертвы. Чтобы не вызывать подозрений, он может выполнять манипуляции, когда компьютер находится в спящем режиме.
Уордл ведет борьбу с виртуальными кликами в macOS с 2017 года. ИБ-специалист обнаружил уязвимость CVE-2017-7150, которая допускала похищение паролей с использованием этого механизма. Разработчики Apple исправили недостаток, однако эксперт доказал, что принятых мер недостаточно, обойдя защиту и загрузив в пропатченную систему обновление ядра. Во многом благодаря усилиям аналитика вендор принял решение добавить механизм подтверждения программных манипуляций с пользовательским интерфейсом в Mojave.
Источник: https://threatpost.ru/macos-mjave-0day-negates-the-double-check-for-apps/32940/