Bảo mật chỉ mạnh khi liên kết yếu nhất. Để chứng minh thêm cho điều này, Apple đã phát hành bản cập nhật cho hệ điều hành macOS để giải quyết lỗ hổng zero-day bị khai thác tích cực có thể phá vỡ tất cả các biện pháp bảo mật, do đó cho phép phần mềm chưa được phê duyệt chạy trên máy Mac.
Lỗ hổng macOS, được xác định là CVE-2021-30657, được phát hiện và báo cáo cho Apple bởi kỹ sư bảo mật Cedric Owens vào ngày 25/3/2021.
“Bằng chứng ứng dụng khái niệm dựa trên kịch bản, không dấu, không công chứng […] có thể bỏ qua một cách đáng tin cậy và đáng tin cậy tất cả các cơ chế bảo mật liên quan của macOS (Kiểm dịch tệp, Người giữ cổng và Yêu cầu công chứng), ngay cả trên hệ thống macOS M1 đã được vá đầy đủ “, nhà nghiên cứu bảo mật Patrick Wardle giải thích trong một bài viết. “Được trang bị khả năng như vậy, các tác giả phần mềm độc hại macOS có thể (và đang) quay trở lại các phương pháp nhắm mục tiêu và lây nhiễm cho người dùng macOS đã được chứng minh của họ.”
MacOS của Apple đi kèm với một tính năng được gọi là Người gác cổng, chỉ cho phép ứng dụng đáng tin cậy được chạy bằng cách đảm bảo rằng phần mềm đã được ký bởi App Store hoặc bởi một nhà phát triển đã đăng ký và đã xóa một quy trình tự động có tên “công chứng ứng dụng“quét phần mềm để tìm nội dung độc hại.
Nhưng lỗ hổng mới do Owens phát hiện có thể cho phép kẻ thù tạo ra một ứng dụng giả mạo theo cách có thể đánh lừa dịch vụ Gatekeeper và được thực thi mà không kích hoạt bất kỳ cảnh báo bảo mật nào. Thủ thuật này liên quan đến việc đóng gói một tập lệnh shell độc hại dưới dạng “ứng dụng có thể nhấp đúp” để phần mềm độc hại có thể được nhấp đúp và chạy như một ứng dụng.
“Đó là một ứng dụng theo nghĩa mà bạn có thể nhấp đúp vào nó và macOS xem nó như một ứng dụng khi bạn nhấp chuột phải -> Nhận thông tin về tải trọng”, Owens nói. “Tuy nhiên, nó cũng là tập lệnh shell trong đó các tập lệnh shell không được Gatekeeper kiểm tra ngay cả khi sự cách ly thuộc tính hiện tại. “
Theo hãng bảo mật macOS Jamf, tác nhân đe dọa đằng sau Shlayer phần mềm độc hại đã lạm dụng lỗ hổng Gatekeeper bỏ qua này sớm nhất là vào ngày 9 tháng 1 năm 2021. Được phân phối thông qua một kỹ thuật được gọi là đầu độc công cụ tìm kiếm hoặc spamdexing, Shlayer chiếm gần 30% tất cả các phát hiện trên nền tảng macOS, với 1/10 hệ thống gặp phải phần mềm quảng cáo tại ít nhất một lần, theo Kaspersky số liệu thống kê cho năm 2019.
Cuộc tấn công hoạt động bằng cách thao túng kết quả của công cụ tìm kiếm để hiển thị các liên kết độc hại, khi được nhấp vào, chuyển hướng người dùng đến một trang web nhắc người dùng tải xuống bản cập nhật ứng dụng có vẻ lành tính cho phần mềm lỗi thời, trong chiến dịch này, là một tập lệnh bash được thiết kế để truy xuất tải trọng ở giai đoạn tiếp theo, bao gồm cả phần mềm quảng cáo Bundlore một cách lén lút. Rắc rối thay, kế hoạch lây nhiễm này có thể được tận dụng để đưa ra các mối đe dọa nâng cao hơn như phần mềm giám sát và ransomware.
Ngoài lỗ hổng nói trên, các bản cập nhật hôm thứ Hai cũng giải quyết một lỗ hổng nghiêm trọng trong WebKit Storage (được theo dõi là CVE-2021-30661) liên quan đến lỗ hổng thực thi mã tùy ý trong iOS, hệ điều hành Mac, tvOS, và watchOS khi xử lý nội dung web được chế tạo độc hại.
“Apple đã biết về một báo cáo rằng vấn đề này có thể đã bị khai thác tích cực”, công ty cho biết trong một tài liệu bảo mật, đồng thời cho biết thêm rằng nó đã giải quyết điểm yếu sử dụng sau khi không sử dụng bằng cách cải thiện quản lý bộ nhớ.
Bên cạnh những bản cập nhật này, Apple cũng đã phát hành iCloud dành cho Windows 12.3 với các bản vá cho bốn vấn đề bảo mật trong WebKit và WebRTC, trong số những vấn đề khác, có thể cho phép kẻ tấn công tấn công tập lệnh xuyên trang (XSS) (CVE-2021-1825) và làm hỏng bộ nhớ nhân (CVE-2020-7463).
Người dùng thiết bị Apple được khuyến nghị cập nhật lên phiên bản mới nhất để giảm thiểu rủi ro liên quan đến lỗi.
