ozztech_logo_white

Apple macOS Güvenlik Kusurunu Düzeltti

apple

Apple, imzasız ve onaylanmamış komut dosyası tabanlı uygulamaların tamamen yamalı sistemlerde bile tüm macOS güvenlik koruma mekanizmalarını atlamak için kullanabileceği bir mac OS güvenlik açığını ele aldı.

Otomatik noter onaylı güvenlik denetimlerini kötü amaçlı bileşenleri ve kod imzalama sorunlarını tarayan atlarlarsa, indirilen uygulamaların noter onaylı ve geliştirici tarafından imzalanmış olup olmadığını doğrulamak için tasarlanmış bir macOS güvenlik özelliği olan Gatekeeper tarafından uygulamaların başlatılmasına izin verilir.

Bypass kusurunu CVE-2021-30853)hedefleyen kötü amaçlı komut dosyası tabanlı uygulamalar bir hedefin sisteminde başlatıldığında, saldırganlar tarafından ikinci aşamadaki kötü amaçlı yükleri indirmek ve dağıtmak için kullanılabilir.

Apple, mac OS 11.6’daki bu güvenlik açığını, Eylül 2021’de yayımlanan ve iyileştirilmiş denetimler ekleyen bir güvenlik güncelleştirmesiyle gidermiştir.

Shebang İle Gatekeeper Bypass

CVE-2021-30853 Gatekeeper atlama hatası Box Offensive Security Engineer Gordon Long tarafından keşfedildi ve Apple’a bildirildi.

İnternetten indirilen özel olarak hazırlanmış komut dosyası tabanlı uygulamaların otomatik olarak karantinaya alınmasına rağmen bir uyarı göstermeden başlatılacağını buldu.

“Özel olarak hazırlanmış” kısım, bir shebang ile başlayan bir komut dosyası kullanan bir uygulama oluşturmayı gerektirir !# karakter ancak satırın geri kalanını boş bırakarak Unix kabuğuna bir kabuk komut yorumlayıcısı belirtmeden komut dosyasını çalıştırmasını söyler.

Güvenlik kontrollerini imzalama ve noter onayı gerçekleştirmek için AppleSystemPolicy çekirdek uzantısı tarafından otomatik olarak çağrılan syspolicyd arka plan programı artık bir yorumlayıcı belirtmeden bir komut dosyası başlatılırken denetim için tetiklenmediğinden, bu bir Gatekeeper atlamasına yol açar.

Temel olarak, betik bir shebang !# kullanıyorsa ancak açıkça bir yorumlayıcı belirtmediyse, Gatekeeper güvenlik kontrollerini atlayacaktır.

apple

Güvenlik araştırmacısı Patrick Wardle, “Syspolicyd arka plan programı, çeşitli ilke denetimleri gerçekleştirecek ve nihayetinde imzasız veya noter onaylı olmayanlar gibi güvenilmeyen uygulamaların yürütülmesini engelleyecektir” dedi.

“Fakat, ya AppleSystemPolicy kext, syspolicyd arka plan programının çağrılması gerekmediğine karar verirse? O zaman işleme izin verilir! Ve bu karar yanlış verilirse, o zaman, güzel bir Dosya Karantinası, Gatekeeper ve noter onayınız olur.”

Wardle tarafından açıklandığı gibi, tehdit aktörleri, iyi huylu görünümlü bir PDF belgesi olarak da kamufle edilebilen kötü amaçlı bir uygulamayı açmaları için hedeflerini kandırarak bu kusurdan yararlanabilir.

Bu tür kötü amaçlı yükler, zehirli arama sonuçları, sahte güncellemeler ve korsan yazılımlara bağlanan sitelerden indirilen truva atı uygulamaları dahil olmak üzere birçok yöntemle hedef sistemlerine iletilebilir.

apple

Kötü Amaçlı Yazılım Tarafından Kullanılan Benzer Hatalar

Apple tarafından düzeltilen ve tehdit aktörlerinin tamamen yamalı Mac’lerde Gatekeeper ve File Quarantine gibi işletim sistemi güvenlik mekanizmalarını tamamen atlatmasına olanak tanıyan ilk macOS hatası değil.

Nisan ayında Apple, macOS otomatik güvenlik kontrollerini atlamak ve güvenliği ihlal edilmiş Mac’lerde ek yükler dağıtmak için Shlayer kötü amaçlı yazılım operatörleri tarafından vahşi ortamda kullanılan bir sıfır gün güvenlik açığını yamaladı.

Shlayer tehdit aktörleri, Jamf Protect tespit ekibinin keşfettiği üzere Ocak 2021’den itibaren sıfır gün hatasını CVE-2021-30657 olarak izlenir. Kullanan imzasız ve noter onayı olmayan kötü amaçlı yazılımlarla macOS kullanıcılarını hedef almaya başlandı.

Microsoft ayrıca Ekim ayında, Sistem Bütünlüğü Korumasını (SIP) atlamak ve rastgele işlemler gerçekleştirmek, root ayrıcalıklarını yükseltmek ve güvenliği ihlal edilmiş cihazlara rootkit yüklemek için kullanılabilecek Shrootless adlı ve CVE-2021-30892 olarak izlenen bir macOS güvenlik açığı keşfetti.

Apple, Shrootless hatasını yamaladıktan sonra yayınlanan bir güvenlik tavsiyesinde, “Kötü amaçlı bir uygulama dosya sisteminin korunan kısımlarını değiştirebilir” dedi.

Bu makalemizi beğendiyseniz sizleri Kötü Amaçlı Yazılım Analizi Nedir? adlı makalemize bekleriz: https://www.ozztech.net/siber-guvenlik/kotu-amacli-yazilim-analizi-nedir/

İlginizi Çekebilecek Makaleler​

Message Broker Nedir?

Message broker, birçok farklı uygulama veya sistem arasında iletişim kurmak için kullanılan bir yazılım aracıdır. Bu araç, bir uygulama tarafından gönderilen mesajları bir veya daha

Devamı »
Loglama Nedir?

Loglama, bilgisayar sistemlerindeki olayları, hataları ve diğer önemli durumları kaydetme işlemidir. Bu kayıtlar, sistem yöneticileri ve geliştiriciler tarafından, sistemlerin işleyişini anlamak, hataları tespit etmek ve

Devamı »
Vcenter Üzerinden ESXI Upgrade’i Nasıl Yapılır?

Öncelikle herkese merhaba arkadaşlar, sizlere Vcenter üzerinde ESXI hostunuzu nasıl upgrade edeceğinizi anlatacağım. Öncelikle hangi versiyona yükselteceksek o versiyonun ISO dosyasını indiriyoruz. Ardından Vcenter’ımızı açıyoruz.

Devamı »
.OrianaLOG Nedir?

.OrianaLOG Nedir? ve Ne işe Yarar?  .OrianaLOG bir sistem veya uygulamanın çalışması sırasında oluşan log (kayıt) dosyalarının toplanması, depolanması, analiz edilmesi ve incelenmesine olanak sağlayan bir

Devamı »