Otkriven je eksploatacijski kod za dokaz koncepta (PoC) za kritičnu ranjivost u macOS-u, identificiran kao CVE-2024-54527.
Ova ranjivost omogućava napadačima da zaobiđu mehanizam zaštite transparentnosti , pristanka i kontrole (TCC), potencijalno omogućavajući neovlašteni pristup osjetljivim korisničkim podacima.
Ranjivost, koja pogađa verzije macOS-a prije Sonoma 14.0, postoji u XPC servisu koji se nalazi na /System/Library/Frameworks/MediaLibrary.framework/Versions/A/XPCServices/com.apple.MediaLibraryService.xpc. Ova usluga posjeduje moćna TCC prava, uključujući “com.apple.private.tcc.manager” i “com.apple.private.tcc.allow”.
Detalji eksploatacije
Prema istraživaču, eksploatacija iskorištava činjenicu da ranjivi XPC servis nije potpisan ni Hardened Runtime ni provjerom valjanosti biblioteke. Napadač to može iskoristiti na sljedeći način:
- Postavljanje zlonamjernog dodatka u korisnički folder Biblioteka
- Pokretanje XPC usluge za učitavanje dodatka
- Stjecanje TCC prava usluge na zaobilaznu zaštitu
Istraživač koji je otkrio ranjivost učitao je kod za eksploataciju, pokazujući ozbiljnost problema.
Ova TCC zaobilaznica može omogućiti hakerima da:
- Pristupite korisničkim fotografijama, kontaktima i drugim osjetljivim podacima
- Izmijenite TCC postavke direktno
- Potencijalno eskalirati privilegije na sistemu
Apple je riješio ovu ranjivost u macOS Sonoma 14.0 i novijim verzijama. Ispravka uključuje novo smanjenje sigurnosti u AppleMobileFileIntegrity.kext, pod nazivom “enforceTCCEntitlementHardening”.
Ovo ublažavanje nameće strože kontrole nad procesima sa specifičnim pravima vezanim za TCC:
- Procesi s ovlaštenjima “com.apple.private.tcc.allow” ili “com.apple.private.tcc.manager” sada su prisilno ojačani provjerom valjanosti biblioteke u vrijeme izvođenja
- Ranjivi XPC servis je sada potpisan sa Hardened Runtime
- Dodatno pravo, “com.apple.private.amfi.version-restriction”, implementirao je kako bi se spriječili napadi na niže verzije
Preporuke
Korisnicima i administratorima se toplo savjetuje da:
- Odmah ažurirajte na najnoviju verziju macOS-a
- Budite oprezni kada pokrećete nepotpisane ili nepouzdane aplikacije
- Pratite aktivnost sistema za bilo kakvo sumnjivo ponašanje
Iako je Apple zakrpio ovaj specifičan problem, on naglašava važnost kontinuiranih sigurnosnih ažuriranja i potencijalne rizike povezane sa moćnim sistemskim uslugama.
Kako su detalji ove ranjivosti sada javni, ključno je da korisnici ostanu na oprezu i održavaju svoje sisteme ažurnim kako bi se zaštitili od potencijalnih eksploatacija zasnovanih na ovoj i sličnim ranjivostima.
Izvor: CyberSecurityNews
