Liam Tung är en frilansande teknikjournalist på heltid som skriver för flera australiska publikationer.
Fullständig bio den 11 januari 2022 | Ämne: Säkerhet
Microsoft har detaljerat hur skadlig programvara på macOS kan kringgå integritetsinställningar som upprätthålls av Apples macOS-system som kallas Transparency, Consent och Control (TCC) för att kontrollera appars åtkomst till känslig användardata.
Powerdir-felet, som Apple fixade i sin uppdatering den 13 december för macOS upp till Monterey, låter en angripare kringgå TCC för att få tillgång till en användares skyddade data.
Buget upptäcktes av Microsofts säkerhetsforskare Jonathan Bar Or. Microsoft är intresserad av macOS-säkerhet eftersom Defender for Endpoint kan användas i ett företag för att skydda icke-Windows-enheter.
Microsofts 365 Defender Research Team noterade i ett blogginlägg att Apple introducerade en funktion för att skydda TCC som “förhindrar obehörig kodexekvering och upprätthåller en policy som begränsar åtkomst till TCC till endast appar med full diskåtkomst.”
Men. , Eller upptäckte att det är “möjligt att programmatiskt ändra en målanvändares hemkatalog och plantera en falsk TCC-databas, som lagrar samtyckeshistoriken för appförfrågningar.”
“Om den utnyttjas på oparpade system kan denna sårbarhet tillåta en illvillig aktör att potentiellt orkestrera en attack baserat på användarens skyddade personliga data”, sa Microsoft.
En angripare kan kapa en redan installerad app eller installera sin egen skadliga app för att komma åt mikrofonen för att spela in privata konversationer eller ta skärmdumpar av känslig information som visas på användarens skärm, förklarade Microsoft.
TCC dök upp 2012 i OS X Mountain Lion och ligger bakom systemaviseringarna som användare ser när de ger eller nekar “samtycke” för specifika applikationer att få tillgång till privat data, vilket inkluderar åtkomst till enhetens kamera, mikrofon, plats och åtkomst till användarens kalender eller iCloud-konto.
Apple beskriver inte TCC direkt i sin säkerhetsmanual, men via säkerhetsföretaget Sentinal One beskrivs TCC:s syfte i ett avsnitt av manualen som beskriver hur macOS och iOS skyddar appåtkomst till användardata. Användare kan hantera dessa integritetsskydd i macOS inom Security & Sekretessavsnittet i Systeminställningar.
“Apple-enheter hjälper till att förhindra appar från att komma åt en användares personliga information utan tillstånd med hjälp av olika tekniker inklusive Data Vault. I Inställningar i iOS och iPadOS eller Systeminställningar i macOS kan användare se vilka appar de har tillåtit åtkomst till viss information som samt bevilja eller återkalla framtida åtkomst,” förklarar Apple.
Microsofts TCC-bypass-fel erbjuder ett nytt sätt att kringgå skydd som Apple har lagt till tidigare upptäckta TCC-bypass, inklusive CVE-2020-9771, CVE-2020-9934 och CVE-2021-30713.
För att skydda TCC från dessa förbikopplingsbrister introducerade Apple en funktion som förhindrar exekvering av obehörig kod och tillämpade en policy som begränsar åtkomst till TCC till endast appar med full diskåtkomst. Dessa korrigeringar skyddade TCC.db (databas)-filer från att bli felaktigt åtkomliga genom till exempel. Time Machine-säkerhetskopior eller alternativa filvägar.
Microsoft kringgår Apples TCC-skydd fungerade genom att plantera en falsk TCC.db-fil och ändra hemkatalogen med ett specifikt sudo-kommando för “superanvändare” i kommandoradsverktyget Directory Services.
“Medan vi kräver root-åtkomst, upptäckte att detta bara fungerar om appen är beviljad med TCC-policyn kTCCServiceSystemPolicySysAdminFiles, som den lokala eller användarspecifika TCC.db upprätthåller”, förklarar Microsoft.
“Det är svagare än att ha full diskåtkomst, men vi lyckades kringgå den begränsningen med verktygen dsexport och dsimport.”
Microsofts proof of concept visade att angripare kunde ändra inställningarna på vilken applikation som helst, vilket potentiellt tillåter dem att aktivera mikrofon- och kameraåtkomst på vilken app som helst – därav felets namn “Powerdir”.
Utvalda
Hackare använder Log4j-fel som en del av sina attacker, varnar Microsoft Fortfarande i toppen: Linux Mint 20.3 är den bästa Linux-datorn Covid-testning: Den bästa hemma snabbtestsatser Om du använder Google Chrome måste du installera denna nu Security TV | Datahantering | CXO | Datacenter