OzzTech - Apple macOS Güvenlik Kusurunu Düzeltti

Apple macOS Güvenlik Kusurunu Düzeltti

apple

Apple, imzasız ve onaylanmamış komut dosyası tabanlı uygulamaların tamamen yamalı sistemlerde bile tüm macOS güvenlik koruma mekanizmalarını atlamak için kullanabileceği bir mac OS güvenlik açığını ele aldı.

Otomatik noter onaylı güvenlik denetimlerini kötü amaçlı bileşenleri ve kod imzalama sorunlarını tarayan atlarlarsa, indirilen uygulamaların noter onaylı ve geliştirici tarafından imzalanmış olup olmadığını doğrulamak için tasarlanmış bir macOS güvenlik özelliği olan Gatekeeper tarafından uygulamaların başlatılmasına izin verilir.

Bypass kusurunu CVE-2021-30853)hedefleyen kötü amaçlı komut dosyası tabanlı uygulamalar bir hedefin sisteminde başlatıldığında, saldırganlar tarafından ikinci aşamadaki kötü amaçlı yükleri indirmek ve dağıtmak için kullanılabilir.

Apple, mac OS 11.6'daki bu güvenlik açığını, Eylül 2021'de yayımlanan ve iyileştirilmiş denetimler ekleyen bir güvenlik güncelleştirmesiyle gidermiştir.

Shebang İle Gatekeeper Bypass

CVE-2021-30853 Gatekeeper atlama hatası Box Offensive Security Engineer Gordon Long tarafından keşfedildi ve Apple'a bildirildi.

İnternetten indirilen özel olarak hazırlanmış komut dosyası tabanlı uygulamaların otomatik olarak karantinaya alınmasına rağmen bir uyarı göstermeden başlatılacağını buldu.

"Özel olarak hazırlanmış" kısım, bir shebang ile başlayan bir komut dosyası kullanan bir uygulama oluşturmayı gerektirir !# karakter ancak satırın geri kalanını boş bırakarak Unix kabuğuna bir kabuk komut yorumlayıcısı belirtmeden komut dosyasını çalıştırmasını söyler.

Güvenlik kontrollerini imzalama ve noter onayı gerçekleştirmek için AppleSystemPolicy çekirdek uzantısı tarafından otomatik olarak çağrılan syspolicyd arka plan programı artık bir yorumlayıcı belirtmeden bir komut dosyası başlatılırken denetim için tetiklenmediğinden, bu bir Gatekeeper atlamasına yol açar.

Temel olarak, betik bir shebang !# kullanıyorsa ancak açıkça bir yorumlayıcı belirtmediyse, Gatekeeper güvenlik kontrollerini atlayacaktır.

apple

Güvenlik araştırmacısı Patrick Wardle, "Syspolicyd arka plan programı, çeşitli ilke denetimleri gerçekleştirecek ve nihayetinde imzasız veya noter onaylı olmayanlar gibi güvenilmeyen uygulamaların yürütülmesini engelleyecektir" dedi.

"Fakat, ya AppleSystemPolicy kext, syspolicyd arka plan programının çağrılması gerekmediğine karar verirse? O zaman işleme izin verilir! Ve bu karar yanlış verilirse, o zaman, güzel bir Dosya Karantinası, Gatekeeper ve noter onayınız olur."

Wardle tarafından açıklandığı gibi, tehdit aktörleri, iyi huylu görünümlü bir PDF belgesi olarak da kamufle edilebilen kötü amaçlı bir uygulamayı açmaları için hedeflerini kandırarak bu kusurdan yararlanabilir.

Bu tür kötü amaçlı yükler, zehirli arama sonuçları, sahte güncellemeler ve korsan yazılımlara bağlanan sitelerden indirilen truva atı uygulamaları dahil olmak üzere birçok yöntemle hedef sistemlerine iletilebilir.

apple

Kötü Amaçlı Yazılım Tarafından Kullanılan Benzer Hatalar

Apple tarafından düzeltilen ve tehdit aktörlerinin tamamen yamalı Mac'lerde Gatekeeper ve File Quarantine gibi işletim sistemi güvenlik mekanizmalarını tamamen atlatmasına olanak tanıyan ilk macOS hatası değil.

Nisan ayında Apple, macOS otomatik güvenlik kontrollerini atlamak ve güvenliği ihlal edilmiş Mac'lerde ek yükler dağıtmak için Shlayer kötü amaçlı yazılım operatörleri tarafından vahşi ortamda kullanılan bir sıfır gün güvenlik açığını yamaladı.

Shlayer tehdit aktörleri, Jamf Protect tespit ekibinin keşfettiği üzere Ocak 2021'den itibaren sıfır gün hatasını CVE-2021-30657 olarak izlenir. Kullanan imzasız ve noter onayı olmayan kötü amaçlı yazılımlarla macOS kullanıcılarını hedef almaya başlandı.

Microsoft ayrıca Ekim ayında, Sistem Bütünlüğü Korumasını (SIP) atlamak ve rastgele işlemler gerçekleştirmek, root ayrıcalıklarını yükseltmek ve güvenliği ihlal edilmiş cihazlara rootkit yüklemek için kullanılabilecek Shrootless adlı ve CVE-2021-30892 olarak izlenen bir macOS güvenlik açığı keşfetti.

Apple, Shrootless hatasını yamaladıktan sonra yayınlanan bir güvenlik tavsiyesinde, "Kötü amaçlı bir uygulama dosya sisteminin korunan kısımlarını değiştirebilir" dedi.

Bu makalemizi beğendiyseniz sizleri Kötü Amaçlı Yazılım Analizi Nedir? adlı makalemize bekleriz: https://www.ozztech.net/siber-guvenlik/kotu-amacli-yazilim-analizi-nedir/


İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.