قامت Apple بإصلاح ثغرة أمنية يمكن للمهاجمين الاستفادة منها لنشر البرامج الضارة على أجهزة macOS الضعيفة عبر تطبيقات غير موثوقة قادرة على تجاوز قيود تنفيذ تطبيق Gatekeeper.
تم العثور على الثغرة الأمنية والإبلاغ عنها بواسطة جوناثان بار أور ، الباحث الأمني الرئيسي في Microsoft ، (يُطلق عليها اسم Achilles) على أنها CVE-2022-42821.
عالجت Apple الخطأ في macOS 13 (Ventura) و macOS 12.6.2 (Monterey) و macOS 1.7.2 (Big Sur) قبل أسبوع واحد ، في 13 ديسمبر.
تجاوز برنامج حماية البوابة عبر قوائم ACL المقيدة
Gatekeeper هي ميزة أمان macOS تتحقق تلقائيًا من جميع التطبيقات التي تم تنزيلها من الإنترنت إذا كانت موثقة وموقعة من قبل المطور (معتمدة من Apple) ، وتطلب من المستخدم التأكيد قبل إطلاق أو إصدار تنبيه بأنه لا يمكن الوثوق بالتطبيق.
يتم تحقيق ذلك عن طريق التحقق من السمة الموسعة المسماة com.apple.quarantine والتي يتم تعيينها بواسطة متصفحات الويب لجميع الملفات التي تم تنزيلها ، على غرار Mark of the Web في Windows.
يسمح عيب Achilles للحمولات المصممة خصيصًا بإساءة استخدام مشكلة منطقية لتعيين أذونات قائمة التحكم بالوصول المقيدة (ACL) التي تمنع متصفحات الويب وبرامج التنزيل من الإنترنت من تعيين سمة com.apple.quarantine لتنزيل الحمولة المؤرشفة كملفات ZIP.
نتيجة لذلك ، يتم إطلاق التطبيق الضار الموجود داخل حمولة مؤرشفة على نظام الهدف بدلاً من حظره بواسطة Gatekeeper ، مما يسمح للمهاجمين بتنزيل البرامج الضارة ونشرها.
قالت Microsoft يوم الاثنين إن "وضع تأمين Apple ، الذي تم تقديمه في macOS Ventura كميزة حماية اختيارية للمستخدمين المعرضين لمخاطر عالية والذين قد يتم استهدافهم شخصيًا من خلال هجوم إلكتروني متطور ، يهدف إلى إيقاف عمليات استغلال التعليمات البرمجية عن بُعد بنقرة واحدة ، وبالتالي لا الدفاع ضد أخيل ".
وأضاف فريق Microsoft Security Threat Intelligence "يجب على المستخدمين النهائيين تطبيق الإصلاح بغض النظر عن حالة وضع التأمين".
المزيد من تجاوزات أمان macOS والبرامج الضارة
هذا مجرد واحد من العديد من تجاوزات Gatekeeper التي تم العثور عليها في السنوات العديدة الماضية ، حيث تم إساءة استخدام العديد منها في البرية من قبل المهاجمين للتحايل على آليات أمان macOS مثل Gatekeeper و File Quarantine و System Integrity Protection (SIP) على أجهزة Mac المصححة بالكامل.
على سبيل المثال ، أبلغت Bar Or عن وجود خلل أمني أطلق عليه Shrootless في عام 2021 يمكن أن يسمح للجهات الفاعلة بالتهديد بتجاوز حماية تكامل النظام (SIP) لأداء عمليات عشوائية على جهاز Mac المخترق ، ورفع الامتيازات إلى الجذر ، وحتى تثبيت أدوات rootkits على الأجهزة الضعيفة.
اكتشف الباحث أيضًا powerdir ، وهو خطأ يسمح للمهاجمين بتجاوز تقنية الشفافية والموافقة والتحكم (TCC) للوصول إلى بيانات المستخدمين المحمية.
أصدر أيضًا رمز استغلال لثغرة في نظام التشغيل macOS (CVE-2022-26706) يمكن أن تساعد المهاجمين في تجاوز قيود الحماية لتشغيل التعليمات البرمجية على النظام.
أخيرًا وليس آخرًا ، قامت شركة Apple بإصلاح ثغرة أمنية في نظام macOS في أبريل 2021 والتي مكنت الجهات الفاعلة من التهديد وراء برنامج Shlayer الضار سيئ السمعة من التحايل على فحص أمان Apple File Quarantine و Gatekeeper و Notarization ، وتنزيل المزيد من البرامج الضارة على أجهزة Mac المصابة.
تمكن منشئو Shlayer أيضًا من الحصول على حمولاتهم من خلال عملية التوثيق الآلي من Apple واستخدموا تقنية قديمة لتصعيد الامتيازات وتعطيل Gatekeeper في macOS لتشغيل الحمولات غير الموقعة.