Microsoft warnt vor „Achilles“ macOS Gatekeeper Bypass

Eine Bypass-Schwachstelle in macOS zu Händen Apples Gatekeeper-Umstand könnte es Cyberangreifern geben, bösartige Anwendungen gen Ziel-Macs auszuführen – unabhängig davon, ob jener Lockdown-Modus aktiviert ist.

Unter den Finessen zu dem Fehler (CVE-2022-42821), den Microsoft „Achilles“ nannte, ist die Tatsache, dass Forscher mithilfe des Access Control Lists (ACL)-Umstand in macOS vereinen funktionierenden Exploit erstellen konnten, jener eine Feinabstimmung ermöglicht Zulassung zu Händen Bewerbungen.

Beliebtes Ziel: Apple Gatekeeper zu Händen die Kontrolle von Anwendungen

Apple Gatekeeper ist ein Sicherheitsmechanismus, jener sicherstellen soll, dass nur „vertrauenswürdige Apps“ gen Mac-Geräten umgesetzt werden – dh solche, die von einer gültigen Respektsperson signiert und von Apple genehmigt wurden. Wenn die Software von Gatekeeper nicht validiert werden kann, erhält jener Benutzer ein blockierendes Popup, dasjenige erklärt, dass die App nicht umgesetzt werden kann.

Theoretisch mindert dies die Risiko durch böswillige seitengeladene Anwendungen, die Benutzer notfalls versehentlich von Piratenseiten oder App-Stores von Drittanbietern herunterladen. Dasjenige Problem ist jedoch, dass Angreifer ziemlich viel Zeit darauf verwendet nach sich ziehen, Umgehungswege zu Händen die Routine zu finden, stellten Microsoft-Forscher straff, wie frühere ausgenutzte Schwachstellen wie CVE-2022-22616, CVE-2022-32910, CVE- 2021-1810, CVE-2021-30657, CVE-2021-30853, CVE-2019-8656 und CVE-2014-8826.

Kein Wunder: „Gatekeeper-Umgehungen wie jene könnten qua Vektor zu Händen den Erstzugriff von Schadsoftware und anderen Bedrohungen genutzt werden und dazu hinzufügen, die Erfolgsquote böswilliger Kampagnen und Angriffe gen macOS zu potenzieren“, warnen Microsoft-Forscher in einem jene Woche veröffentlichten Advisory. „Unsrige Information zeigen, dass gefälschte Apps nachdem wie vor einer jener wichtigsten Einstiegsvektoren gen macOS sind, welches darauf hindeutet, dass Gatekeeper-Umgehungstechniken eine attraktive und sogar notwendige Fähigkeit sind, die Angreifer zu Händen Angriffe nutzen können.“

Enthüllen eines neuen Gatekeeper-Bypasses

Mittels von Finessen rund um CVE-2021-1810 versuchten Microsoft-Forscher, eine neue Umgehungsstraße zu schaffen – welches ihnen gelang, während sie bösartige Dateien mit speziellen Berechtigungsregeln jenseits den ACL-Umstand anhängten.

Apple verwendet laut Advisory vereinen Quarantänemechanismus zu Händen heruntergeladene Apps: „Beim Herunterladen von Apps von einem Browser wie Safari weist jener Browser jener heruntergeladenen File ein spezielles erweitertes Kennzeichen zu. Dieses Kennzeichen heißt com.apple.quarantine und wird später verwendet um Richtlinien wie Gatekeeper durchzusetzen.”

Es gibt jedoch eine zusätzliche Vorkaufsrecht in macOS, um ein spezielles erweitertes Kennzeichen namens com.apple.acl.text anzuwenden, dasjenige verwendet wird, um irgendwelche ACLs festzulegen.

„Jede ACL hat vereinen oder mehrere Access Control Entries (ACEs), die festlegen, welches jeder Vorsteher tun kann oder nicht, verwandt wie Firewall-Schalten“, erklärten Microsoft-Forscher. „Ausgestattet mit diesen Informationen nach sich ziehen wir uns kategorisch, den heruntergeladenen Dateien sehr restriktive ACLs hinzuzufügen. Sie ACLs zensieren Safari (oder jedem anderen Sendung), neue erweiterte Attribute festzulegen, einschließlich des com.apple.quarantine-Attributs.“

Und ohne dasjenige Quarantäneattribut wird Gatekeeper nicht aufgefordert, die File zu testen, wodurch jener Sicherheitsmechanismus vollwertig umgangen werden kann.

Entscheidend ist, dass Microsoft-Forscher herausfanden, dass Apples Lockdown-Routine, die im Juli eingeführt wurde, um zu verhindern, dass staatlich geförderte Spyware gefährdete Ziele infiziert, den Achilles-Sturm nicht vereiteln kann.

„Wir stellen straff, dass jener Lockdown-Modus von Apple, jener in macOS Ventura qua optionale Schutzfunktion zu Händen Benutzer mit hohem Risiko eingeführt wurde, die Personal… Ziel eines ausgeklügelten Cyberangriffs werden könnten, darauf abzielt, Exploits zur Vollziehung von Remote-Identifizierungszeichen ohne Klick zu stoppen, und sich von dort nicht dagegen wehrt Achilles“, so Microsoft.

Dasjenige Problem wurde Apple im Juli gemeldet, wodurch Korrekturen in jener neuesten macOS-Version eingeführt wurden. Um sich selbst zu schützen, werden Mac-Benutzer aufgefordert, ihre Betriebssysteme so schnell wie möglich gen die neueste Version zu updaten.