Společnost Microsoft zveřejnila podrobnosti o nyní opravené bezpečnostní chybě v rámci Transparency, Consent and Control (TCC) společnosti Apple v systému macOS, která byla pravděpodobně zneužita k obejití uživatelských preferencí ochrany soukromí a přístupu k datům.
Nedostatek, který technologický gigant kódově označil HM Surf, je sledován jako CVE-2024-44133 (skóre CVSS: 5,5). Společnost Apple ji vyřešila v rámci systému macOS Sequoia 15 odstraněním zranitelného kódu.
HM Surf „spočívá v odstranění ochrany TCC pro adresář prohlížeče Safari a v úpravě konfiguračního souboru ve zmíněném adresáři s cílem získat bez souhlasu uživatele přístup k jeho datům, včetně prohlížených stránek, kamery, mikrofonu a polohy zařízení,“ uvedl Jonathan Bar Or z týmu Microsoft Threat Intelligence.
Společnost Microsoft uvedla, že nová ochrana je omezena na prohlížeč Safari společnosti Apple a že spolupracuje s dalšími významnými dodavateli prohlížečů na dalším zkoumání přínosů zpevnění místních konfiguračních souborů.
HM Surf následuje po tom, co Microsoft objevil chyby v systémech Apple macOS, jako jsou Shrootless, powerdir, Achilles a Migraine, které by mohly umožnit škodlivým subjektům obejít vynucování bezpečnosti.
Zatímco TCC je bezpečnostní rámec, který brání aplikacím v přístupu k osobním údajům uživatelů bez jejich souhlasu, nově objevená chyba by mohla útočníkům umožnit tento požadavek obejít a získat neoprávněný přístup ke službám určování polohy, adresáři, fotoaparátu, mikrofonu, adresáři stažených souborů a dalším.
Přístup je řízen sadou oprávnění, přičemž vlastní aplikace společnosti Apple, jako je Safari, mají možnost zcela obejít TCC pomocí oprávnění „com.apple.private.tcc.allow“.
To sice Safari umožňuje volný přístup k citlivým oprávněním, ale zároveň obsahuje nový bezpečnostní mechanismus nazvaný Hardened Runtime, který ztěžuje spuštění libovolného kódu v kontextu webového prohlížeče.
Jak již bylo řečeno, když uživatelé poprvé navštíví webovou stránku, která požaduje přístup k poloze nebo kameře, Safari je vyzve k přístupu prostřednictvím vyskakovacího okna podobného TCC. Tato oprávnění jsou pro každou webovou stránku uložena v různých souborech umístěných v adresáři „~/Library/Safari“.
Zneužití HM Surf navržené společností Microsoft spočívá v provedení následujících kroků.
Změna domovského adresáře aktuálního uživatele pomocí nástroje dscl, což je krok, který v systému macOS Sonoma nevyžaduje přístup k TCC.
Úprava citlivých souborů (např. PerSitePreferences.db) v adresáři „~/Library/Safari“ pod skutečným domovským adresářem uživatele.
Změna domovského adresáře zpět do původního adresáře, která způsobí, že Safari začne používat upravené soubory
Spuštění prohlížeče Safari a otevření webové stránky, která pořídí snímek prostřednictvím fotoaparátu zařízení a zachytí umístění
Podle Microsoftu lze útok dále rozšířit a uložit celý stream z kamery nebo skrytě zachytit zvuk prostřednictvím mikrofonu počítače Mac. Webové prohlížeče třetích stran tímto problémem netrpí, protože nemají stejná soukromá oprávnění jako aplikace společnosti Apple.
Společnost Microsoft poznamenala, že zaznamenala podezřelou aktivitu spojenou se známou hrozbou adwaru pro macOS s názvem AdLoad, která pravděpodobně zneužívá tuto zranitelnost, a proto je nutné, aby uživatelé podnikli kroky k použití nejnovějších aktualizací.
„Protože jsme nebyli schopni pozorovat kroky vedoucí k této aktivitě, nemůžeme plně určit, zda kampaň AdLoad zneužívá samotnou zranitelnost HM surf,“ uvedl Bar Or. „To, že útočníci používají podobnou metodu k nasazení rozšířené hrozby, zvyšuje důležitost ochrany proti útokům využívajícím tuto techniku.“
Zdroj: thehackernews.com
Obrázek: Microsoft
Zdroj: IT SECURITY NETWORK NEWS