Apple не успела пропатчить macOS — атакующие обходят Gatekeeper

Apple не успела пропатчить macOS — атакующие обходят Gatekeeper

К сожалению, Apple затянула с устранением серьезной уязвимости в macOS Mojave, которая позволяет обойти Gatekeeper — судя по всему, киберпреступники взялись активно эксплуатировать эту брешь в реальных атаках. Об этом предупреждают эксперты компании Intego.

Неудивительно, что все к этому пришло, ведь PoC-код был опубликован еще в прошлом месяце. В итоге киберпреступникам оставалось проделать минимум работы, чтобы оснастить свои кампании соответствующим эксплойтом.

По словам исследователей Intego, на прошлой неделе удалось обнаружить четыре экземпляра вредоносной программы для macOS на VirusTotal. Все они использовали уязвимость для обхода GateKeeper и выполнения вредоносного кода в системе macOS.

При этом уязвимость позволяет избежать любых уведомлений пользователя, так что процесс заражения системы проходит незаметно.

Вредоносная программа, используемая в этих атаках, получила детект «OSX/Linker». Эксперты полагают, что вредонос до сих пор находится в стадии разработки, а в настоящее время просто «обкатывается» преступниками.

На это указывает специфическое поведение вредоноса — он не загружает в атакованную систему дополнительных злонамеренных программ.

«Один из обнаруженных нами файлов подписан с идентификатором Apple Developer ID. Это отчасти может служить доказательством заимствования техник у адваре OSX/Surfbuyer», — пишет аналитик Intego Джошуа Лонг в блоге.

Напомним, что в конце мая детали непропатченной уязвимости в системе macOS 10.14.5 (Mojave) и более ранних версиях появились в Сети. Используя эту проблему безопасности, атакующий может выполнить произвольный код без всякого взаимодействия с пользователем.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Comodo три месяца не может устранить уязвимости в Comodo Antivirus

В Comodo Antivirus были обнаружены несколько уязвимостей, одна из которых может позволить атакующему выйти за пределы песочницы и повысить свои привилегии в системе. Вендор пока не потрудился выпустить патчи.

На проблему безопасности наткнулся Дэвид Уэллс, специалист компании Tenable. Всего Уэллс нашел четыре бреши, которые затрагивают Comodo Antivirus и Comodo Antivirus Advanced версии 12.0.0.6810, и еще одну DoS-уязвимость, которая угрожает исключительно версии 11.0.0.6582.

Наиболее опасная уязвимость получила идентификатор CVE-2019-3969, по системе CVSS ей насчитали 6,8 баллов. Именно эта дыра позволяет обойти песочницу Comodo Antivirus и повысить права до SYSTEM.

Еще одна брешь — CVE-2019-3970 — представляет собой проблему записи в файл, что позволяет злоумышленнику модифицировать описания вредоносных программ. Атакующий может использовать этот баг для создания ложных детектов или для обхода сигнатурного обнаружения.

Оставшиеся уязвимости могут привести к отказу в работе отдельных компонентов приложения или целого ядра.

Уэллс опубликовал подробный разбор самой опасной уязвимости, с помощью которой можно обойти песочницу антивируса. Также эксперт выложил PoC-код, а ниже можно посмотреть видео, в котором демонстрируется наличие уязвимости.

По словам Tenable, сотрудники отправили Comodo всю необходимую информацию еще в середине апреля, однако вендор до сих пор не выпустил патчи.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru