Обновите свой Mac сейчас, чтобы устранить уязвимость, которая дает полный доступ к шпионским приложениям

12 января, 2022 Дядя Влад

Microsoft предупреждает пользователей Mac о необходимости обновления до последней версии MacOS Monterey после того, как обнаружила уязвимость в функции Apple Transparency, Consent and Control (TCC).

Использование этой уязвимости может позволить злоумышленникам подделать TCC и внедрить вредоносное ПО или взломать другое приложение на компьютере.

Скриншот уязвимости macOS Monterey powerdir.

Представленный в 2012 году в MacOS Mountain Lion, TCC помогает контролировать доступ приложения к таким вещам, как камера, микрофон и данные. Когда приложение запрашивает доступ к защищенным данным, запрос сравнивается с существующими сохраненными записями в специальной базе данных. Если записи существуют, приложению запрещается или разрешается доступ на основе флага, обозначающего уровень доступа.

В противном случае пользователю будет показано приглашение явным образом предоставить или отказать в доступе. Как только пользователь отвечает, этот запрос сохраняется в базе данных, и будущие запросы будут следовать предыдущему вводу пользователя.

По данным Microsoft, уязвимость «powerdir», также известная как CVE-2021-30970 , фактически использовалась их исследователями безопасности два раза. Первый эксплойт «доказательство концепции» в основном внедрял фальшивый файл базы данных TCC и изменял домашний каталог пользователя.

Сделав это, Microsoft смогла изменить настройки любого приложения или разрешить доступ к микрофону или камере. Microsoft даже дерзко предоставила Teams доступ к микрофону и камере. Microsoft сообщила Apple об этих первоначальных выводах в июле 2021 года, хотя эксплойт, по-видимому, все еще работал, несмотря на то, что Apple исправила аналогичный эксплойт, продемонстрированный на Black Hat 2021.

Второй эксплойт для доказательства концепции появился потому, что изменение в инструменте dsimport MacOS Monterey сломало первый эксплойт. Этот новый эксплойт позволяет злоумышленнику использовать внедрение кода для изменения двоичного файла с именем /usr/libexec/configd . Этот двоичный файл отвечает за внесение изменений в конфигурацию на уровне системы, включая доступ к базе данных TCC. Это позволило Microsoft незаметно изменить домашний каталог и выполнить атаку того же типа, что и первый эксплойт.

К счастью, Microsoft снова уведомила Apple об уязвимости, и в прошлом месяце она была исправлена. Microsoft призывает пользователей macOS убедиться, что их версия MacOS Monterey обновлена до последней версии. Компания также потратила время на продвижение своего собственного решения для корпоративной безопасности Defender for Endpoint, которое смогло предотвратить эти эксплойты еще до того, как Apple исправила их.

Были и предыдущие эксплойты TCC, в том числе тот, который использует встроенную утилиту Apple Time Machine , которые с тех пор также были исправлены. Всегда настоятельно рекомендуется обновлять все ваши устройства с помощью последних исправлений, чтобы предотвратить возможные подобные эксплойты. Не стесняйтесь читать подробности эксплойтов Microsoft TCC в их сообщении в блоге безопасности .