Apple, imzasız ve onaylanmamış komut dosyası tabanlı uygulamaların tamamen yamalı sistemlerde bile tüm macOS güvenlik koruma mekanizmalarını atlamak için kullanabileceği bir mac OS güvenlik açığını ele aldı.
Otomatik noter onaylı güvenlik denetimlerini kötü amaçlı bileşenleri ve kod imzalama sorunlarını tarayan atlarlarsa, indirilen uygulamaların noter onaylı ve geliştirici tarafından imzalanmış olup olmadığını doğrulamak için tasarlanmış bir macOS güvenlik özelliği olan Gatekeeper tarafından uygulamaların başlatılmasına izin verilir.
Bypass kusurunu CVE-2021-30853)hedefleyen kötü amaçlı komut dosyası tabanlı uygulamalar bir hedefin sisteminde başlatıldığında, saldırganlar tarafından ikinci aşamadaki kötü amaçlı yükleri indirmek ve dağıtmak için kullanılabilir.
Apple, mac OS 11.6’daki bu güvenlik açığını, Eylül 2021’de yayımlanan ve iyileştirilmiş denetimler ekleyen bir güvenlik güncelleştirmesiyle gidermiştir.
Shebang İle Gatekeeper Bypass
CVE-2021-30853 Gatekeeper atlama hatası Box Offensive Security Engineer Gordon Long tarafından keşfedildi ve Apple’a bildirildi.
İnternetten indirilen özel olarak hazırlanmış komut dosyası tabanlı uygulamaların otomatik olarak karantinaya alınmasına rağmen bir uyarı göstermeden başlatılacağını buldu.
“Özel olarak hazırlanmış” kısım, bir shebang ile başlayan bir komut dosyası kullanan bir uygulama oluşturmayı gerektirir !#
karakter ancak satırın geri kalanını boş bırakarak Unix kabuğuna bir kabuk komut yorumlayıcısı belirtmeden komut dosyasını çalıştırmasını söyler.
Güvenlik kontrollerini imzalama ve noter onayı gerçekleştirmek için AppleSystemPolicy çekirdek uzantısı tarafından otomatik olarak çağrılan syspolicyd arka plan programı artık bir yorumlayıcı belirtmeden bir komut dosyası başlatılırken denetim için tetiklenmediğinden, bu bir Gatekeeper atlamasına yol açar.
Temel olarak, betik bir shebang !#
kullanıyorsa ancak açıkça bir yorumlayıcı belirtmediyse, Gatekeeper güvenlik kontrollerini atlayacaktır.
Güvenlik araştırmacısı Patrick Wardle, “Syspolicyd arka plan programı, çeşitli ilke denetimleri gerçekleştirecek ve nihayetinde imzasız veya noter onaylı olmayanlar gibi güvenilmeyen uygulamaların yürütülmesini engelleyecektir” dedi.
“Fakat, ya AppleSystemPolicy kext, syspolicyd arka plan programının çağrılması gerekmediğine karar verirse? O zaman işleme izin verilir! Ve bu karar yanlış verilirse, o zaman, güzel bir Dosya Karantinası, Gatekeeper ve noter onayınız olur.”
Wardle tarafından açıklandığı gibi, tehdit aktörleri, iyi huylu görünümlü bir PDF belgesi olarak da kamufle edilebilen kötü amaçlı bir uygulamayı açmaları için hedeflerini kandırarak bu kusurdan yararlanabilir.
Bu tür kötü amaçlı yükler, zehirli arama sonuçları, sahte güncellemeler ve korsan yazılımlara bağlanan sitelerden indirilen truva atı uygulamaları dahil olmak üzere birçok yöntemle hedef sistemlerine iletilebilir.
Kötü Amaçlı Yazılım Tarafından Kullanılan Benzer Hatalar
Apple tarafından düzeltilen ve tehdit aktörlerinin tamamen yamalı Mac’lerde Gatekeeper ve File Quarantine gibi işletim sistemi güvenlik mekanizmalarını tamamen atlatmasına olanak tanıyan ilk macOS hatası değil.
Nisan ayında Apple, macOS otomatik güvenlik kontrollerini atlamak ve güvenliği ihlal edilmiş Mac’lerde ek yükler dağıtmak için Shlayer kötü amaçlı yazılım operatörleri tarafından vahşi ortamda kullanılan bir sıfır gün güvenlik açığını yamaladı.
Shlayer tehdit aktörleri, Jamf Protect tespit ekibinin keşfettiği üzere Ocak 2021’den itibaren sıfır gün hatasını CVE-2021-30657 olarak izlenir. Kullanan imzasız ve noter onayı olmayan kötü amaçlı yazılımlarla macOS kullanıcılarını hedef almaya başlandı.
Microsoft ayrıca Ekim ayında, Sistem Bütünlüğü Korumasını (SIP) atlamak ve rastgele işlemler gerçekleştirmek, root ayrıcalıklarını yükseltmek ve güvenliği ihlal edilmiş cihazlara rootkit yüklemek için kullanılabilecek Shrootless adlı ve CVE-2021-30892 olarak izlenen bir macOS güvenlik açığı keşfetti.
Apple, Shrootless hatasını yamaladıktan sonra yayınlanan bir güvenlik tavsiyesinde, “Kötü amaçlı bir uygulama dosya sisteminin korunan kısımlarını değiştirebilir” dedi.
Bu makalemizi beğendiyseniz sizleri Kötü Amaçlı Yazılım Analizi Nedir? adlı makalemize bekleriz: https://www.ozztech.net/siber-guvenlik/kotu-amacli-yazilim-analizi-nedir/