Специалист по информационной безопасности, работающий под псевдонимом Mickey Jin, сообщил о новом способе проведения кибератаки, позволяющем обходить защиту операционной системы macOS. Во время своего выступления на конференции POC2024 эксперт рассказал, что недавно была выявлена уязвимость, позволяющая злоумышленникам обходить песочницу macOS и получать доступ к пользовательским файлам без каких-либо ограничений.
По словам эксперта, кибератака начинается с эксплуатации уязвимости, связанной с XPC-сервисами, применяемыми в операционной системе macOS в целях межпроцессного взаимодействия. Эти сервисы не имеют достаточной защиты, благодаря чему злоумышленники могут воспользоваться сторонним ПО для выполнения команд без ограничений. При этом, за счёт эксплуатации уязвимостей с идентификаторами CVE-2023-27944 и CVE-2023-42977, хакеры могут обходить защиту, получая доступ к пользовательским файлам и снимая их с карантина.
На данный момент в macOS предусмотрено два вида песочницы: для приложений и для системных сервисов. Первая песочница обеспечивает активные ограничения доступа к данным и системным ресурсам, предоставляя только необходимые для выполнения программы функции. Однако некоторые системные сервисы функционируют в менее строгих условиях песочницы, из-за чего хакерам открываются широкие возможности.
Mickey Jin заявил об обнаружении слабых мест в XPC-сервисах, которые связаны с PID-доменом, из-за чего те уязвимы для эксплуатации.
В процессе проведения своего исследования эксперт особенное внимание уделил именно XPC-сервисам для системных фреймворков, которые киберпреступники могут использовать для выхода за пределы песочницы. К примеру, сервис ShoveService позволяет хакерам загрузить только одну строку кода, после чего злоумышленник получает возможность выполнения команд на уровне системы.
При этом уточняется, что корпорация Apple уже представила обновление для большого количества подобных уязвимостей. Однако Mickey Jin продолжает свои исследования, так как многие обнаруженные уязвимости в macOS ещё находятся в процессе исправления.
Например, речь в данном случае идёт об организации кибератак через сервисы, не проверяющие полномочия подключившегося пользователя, что позволяет киберпреступникам эмулировать системные команды и манипулировать с файлами без надлежащей проверки.
Ещё по теме: