0-day в macOS Mojave позволяет приложениям запускать непроверенный код

0-day в macOS Mojave позволяет приложениям запускать непроверенный код

Эксперт в области безопасности macOS Патрик Уордл рассказал о непропатченной уязвимости в этой операционной системе. Проблема безопасности присутствует в процессе проверки приложений, она может привести к загрузке и выполнению непроверенного кода.

По словам специалиста, этот баг достаточно легко использовать. Помимо прочего, он допускает генерацию «синтетических кликов», которые злоумышленник может использовать для подтверждения вредоносных действий.

Уордл описывает следующую схему — атакующий может модифицировать приложение, которому система доверяет по умолчанию, включив в него «синтетический клик», который без ведома пользователя сможет осуществить злонамеренное действие на компьютере.

Что же собой представляют «синтетические клики»? В сущности, это автоматические действия мыши, которые разработчики могут включить в свои приложения. Обычно это делается, чтобы облегчить пользователю жизнь и избавить его от большого количества запросов на подтверждение действий.

Уордл раньше уже рассказывал, что «синтетические клики» могут использоваться для обхода защитных мер операционной системы, тогда эксперт говорил про macOS Sierra. После этого Apple приняла меры, запретив использовать такую методику для доступа к микрофону, геолокации, камере, ядру, сообщениям, терминалу и скриптам.

Теперь же исследователь утверждает, что эти защитные меры также легко обходятся при желании. Для этого достаточно будет просто модифицировать приложение, которому дозволено осуществлять «синтетически клики».

Речь идет о приложениях, которые перечислены в списке AllowApplications.plist. Для примера — в этом списке содержится следующий софт: Steam, VLC, Diablo 3, Starcraft, Starcraft 2, World of Warcraft и другое специфическое программное обеспечение.

По словам Уордла, система проверки Apple в случае с этими приложениями не выполняет свою задачу должным образом. Например, не проверяются ресурсы, из которых приложение загружает и выполняет код.

Детали уязвимости специалист озвучил в ходе конференции Objective by the Sea.

Напомним, что недавно детали еще одной непропатченной уязвимости в системе macOS 10.14.5 (Mojave) и более ранних версиях появились в Сети. Используя эту проблему безопасности, атакующий может выполнить произвольный код без всякого взаимодействия с пользователем.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Новый вариант шифровальщика Darkside нацелен на разделы диска

Исследователи из Fortinet выявили неизвестный ранее вариант вымогательской программы Darkside, способный отыскивать информацию о разбиении дисков и действовать в системных средах с многозагрузочной конфигурацией. Такое поведение эксперты никогда не встречали у шифровальщиков.

Windows-зловред Darkside, ориентированный на корпоративные сети, появился на интернет-арене в августе 2020 года. Из громких атак с его использованием наибольшее внимание привлек недавний инцидент в крупной американской компании Colonial Pipeline, после которого операторы RaaS-сервиса Darkside свернули свои операции.

Проведенный в Fortinet анализ показал, что новый вариант Darkside создан той же криминальной группировкой, но отличен от версии, засветившейся в атаке на Colonial Pipeline. Он пока применяется точечно против небольшого числа организаций.

Обнаружив у вредоноса функцию поиска разделов диска, эксперты вначале подумали, что с ее помощью тот отыскивает и шифрует файлы резервных копий, спрятанные админом. Однако тестирование показало, что обновленный Darkside сканирует диски с иной целью.

Он определяет, является ли целевая система многозагрузочной, и при положительном результате ищет дополнительные тома и разделы с файлами, пригодными для шифрования. Таким образом, новоявленный вариант зловреда способен причинить больший ущерб в случае заражения.

Новобранец также умеет отыскивать в сети контроллеры домена Active Directory и подключаться к ним, используя для аутентификации протокол LDAP. На таких серверах обычно хранится уйма информации, полезной для авторов атаки.

Командный сервер нового Darkside находится в США и размещен у хорошо известного владельца bulletproof-хостинга, базирующегося в Нидерландах. Этот IP-адрес, по свидетельству Fortinet, и ранее неоднократно использовался в различных атаках. Управление резидентными зловредами осуществляется на порту 443 (RDP) с маршрутизацией трафика через сеть Tor.

Собранные за месяц данные телеметрии показали большое количество подключений к C2-серверу с территории США (60%).

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru