Chyba macOS a iOS by mohla odstartovat novou vlnu exploitů

AppleInsider může získat přidruženou provizi za nákupy uskutečněné prostřednictvím odkazů na našich stránkách.

Apple je známý tím, že je extrémně přísný, pokud jde o podepisování kódu na iOS, přičemž pouze aplikace kryptograficky podepsané certifikátem vývojáře jsou dostatečně důvěryhodné, aby mohly běžet na operačním systému. Vzhledem k tomu, že se macOS stále více podobá iOS, bylo pro větší zabezpečení přijato také přísnější vynucování podepisování kódu.

Nicméně, v odhalení v úterý bezpečnostní výstroj Trellix, existuje „velká nová třída chyb“, kterou by útočník mohl použít k obejití podepisování kódu a umožnění spuštění kódu v macOS a iOS. To může vést k eskalaci oprávnění pro aplikaci a úniku z izolovaného prostoru.

Takový kód by teoreticky měl přístup k citlivým informacím uloženým v zařízení, jako jsou mimo jiné historie zpráv, údaje o poloze a obrázky.

Výzkumníci stojící za odhalením byli zaujati výzkumem ze září 2021 od Citizen Lab, který podrobně popsal zneužití „ForcedEntry“ zero-click pro iOS, který byl použit k infikování iPhonu malwarem Pegasus. Po analýze detailů sandboxového úniku se Trellix zajímal o to, jak by mohl dynamicky spouštět kód v jiném procesu, který obešel podepisování kódu.

Ačkoli Apple odstranil funkce, které umožnily zneužití používat tímto způsobem, a přidal nová zmírnění, výzkumníci zjistili, že zmírnění lze obejít.

Konkrétně by útočník použil neomezené metody k vyprázdnění velkého seznamu odmítnutých, který by bránil použití konkrétních tříd a metod. S prázdnými seznamy by útočník mohl volně používat dříve používané metody bez omezení.

S tímto objevem se mohla otevřít „obrovská škála potenciálních zranitelností“ použitím techniky, kterou tým „stále zkoumá“.

První zranitelnost ve třídě, která byla objevena, byla v „coreduetd“, což je proces, který monitoruje chování zařízení. Použitím spouštění kódu v procesu se „správnými oprávněními“ ve Zprávách nebo Safari mohl být odeslán škodlivý „NSPredicate“ s kódem spustitelným s oprávněními procesu.

Vzhledem k tomu, že proces běží jako root v macOS, útočníkovi to poskytne přístup ke kalendáři, adresáři a fotografiím uživatele, tvrdí Trellix.

Podobný problém byl objeven útokem na „contextstored“ související s „CoreDuet“ s použitím zranitelné služby XPC, která by mohla spustit kód z procesu, který má větší přístup k funkcím zařízení.

Oba démoni „appstored“ i „appstoreagent“ na macOS měli zranitelné služby XPC, které bylo možné použít ke zneužití stejných zranitelností. Nakonec to mohlo vést k instalaci „libovolných aplikací, potenciálně dokonce včetně systémových aplikací“.

Trellix tvrdí, že zranitelnosti „představují významné narušení bezpečnostního modelu macOS a iOS, který závisí na tom, že jednotlivé aplikace mají podrobný přístup k podmnožině zdrojů, které potřebují, a dotazují se na vyšší privilegované služby, aby získaly cokoli jiného.

Služby, které přijímají argumenty NSPredicate, ale dostatečně je nekontrolují, mohou umožnit škodlivým aktérům spouštět kód, „aby porazili izolaci procesů a získali přímý přístup k mnohem více zdrojům, než by mělo být povoleno“.

Stejně jako v mnoha jiných situacích, kdy byla zranitelnost zodpovědně odhalena, byla již na operační systémy aplikována oprava. Problémy byly vyřešeny s vydáním macOS 13.2 a iOS 16.3.

„Rádi bychom poděkovali Applu za rychlou spolupráci s Trellixem na vyřešení těchto problémů,“ uzavírá prohlášení firmy.

Ve skutečnosti je vše, co je potřeba k tomu, aby bylo možné zapojit ranou zjištěnou zranitelnost, aktualizovat operační systémy na macOS 13.2, iOS a iPadOS 16.3 nebo novější.

Aktualizace operačních systémů by měla být prováděna pravidelně nebo by měla být nastavena tak, aby se spouštěla ​​automaticky, jednoduše proto, že každý obvykle obsahuje opravy zabezpečení spolu s vylepšeními výkonu a novými funkcemi.

Vzhledem k tomu, že výzkumníci zkoumají tento druh zranitelnosti hlouběji, může být na cestě více. Udržování operačního systému v aktuálním stavu může být jednou z nejlepších věcí, jak je zmírnit, jakmile se objeví.