Три критические «дыры» в macOS случайно нашлись при проверке Dropbox на уязвимости. Видео

Безопасность Администратору Стратегия безопасности Техника
мобильная версия
, Текст: Роман Георгиев
Три уязвимости можно объединить в цепочку, и тогда для запуска произвольного кода на любой машине под управлением macOS достаточно было бы заманить жертву на специально созданный сайт. Apple исправила все эти «баги» ещё весной.

Критическая цепочка

Испытание с симулированием кибератака на сервисы Dropbox, проведённая экспертами по безопасности, неожиданно позволила выявить несколько уязвимостей нулевого дня в разработках фирмы Apple.

При правильном использовании комбинации этих уязвимостей злоумышленники могли осуществить запуск вредоносного кода на компьютере под управлением macOS, просто заманив пользователя на вредоносный сайт.

Три из найденных уязвимостей: CVE-2017-13890, CVE-2018-4176 и CVE-2018-4175 получили статус критических.

Подробности обнаружения

Из трех обнаруженных экспертами Syndis в процессе тестирования Dropbox уязвимостей первая содержится в компоненте macOS CoreTypes.bundle, который содержит список безопасных элементов, открывающихся в браузере Safari. Как оказалось, в числе «безопасных» оказались самомонтирующиеся образы дисков (.smi). Таким образом, просто заманив пользователя на нужную страницу, злоумышленники могли заставить компьютер жертвы активировать виртуальный привод.

Вторая уязвимость непосредственно затрагивала процесс монтирования образа диска в macOS. С помощью самомонтирующегося образа злоумышленник мог использовать утилиту bless с аргументом --openfolder, чтобы автоматически открывать конкретную папку при монтировании виртуального диска. В документации Apple, между тем, не упоминается одна важная деталь: --openfolder может открывать файлы .bundle; эти файлы представляют собой приложения или наборы приложений, скомпонованных как каталоги.

Таким образом, используя эти две уязвимости, злоумышленник может заставить компьютер жертвы смонтировать посторонний образ диска и запустить с него вредоносный код.

Но в macOS существует функция Gatekeeper, которая воспрепятствует её запуску.

Однако тут очень кстати подвернулась ещё одна уязвимость, на этот раз в компоненте LaunchServices. Модифицировав приложение для запуска командной строки Terminal.app, а точнее, связанный с ним файл Info.plist, эксперты смогли проассоциировать с ним новое расширение файла (workingpoc); благодаря этому Gatekeeper игнорировал скрипт, эксплуатировавший две вышеописанные уязвимости.

На видео заметно, как на компьютере, пользователь которого зашёл через Safari на специально подготовленный сайт, «сам собой» запускается калькулятор.

«Ситуации, когда несколько уязвимостей, которые сами по себе могут не нести большой угрозы, вместе становятся критически опасными, относительно широко распространены, - говорит Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. - Обнаружить такие цепочки в целом сложнее, чем отдельные уязвимости, но для такого и существуют пентесты. Так что Dropbox продемонстрировал весьма ответственный подход к своей - и не только своей - защите».

Apple опубликовала все обновления ещё в марте. Информацию об уязвимостях было решено придержать до настоящего момента.

Регулярность пентестов повышает защищённость

Компания Dropbox регулярно нанимает фирмы, занимающиеся тестами на проникновение и другими проверками на уязвимости. В блог-посте компании указывается, что компания тем самым проверяет эффективность собственных настроек безопасности и систем защиты в целом.

«Мы вложили немало средств в укрепление защиты, в эффективность выявления атак и реагирования на них, - написал в официальном блог-посте директор Dropbox по безопасности Крис Эванс (Chris Evans). - Даже если злоумышленник проникает внутрь и получает доступ к различным системам в нашей среде, и средства обнаружения не среагируют на эту атаку, у нас есть обширный инструментарий для отслеживания действий после вторжения. Откуда нам знать, что мы всё делаем правильно? Именно для этого мы и провели недавнюю симуляцию атаки. Целью было проверить работоспособность нашей программы выявления атак, а также готовность наших специалистов по безопасности при обнаружении взлома. Мы также были заинтересованы в выявлении новых возможных способов взлома Dropbox, но даже если бы такие и не нашлись, мы планировали имитировать последствия атаки, вручную подсадив вредоносные программы - аккуратно, естественно, чтобы не вызвать подозрений у команды обнаружения и реагирования».

Однако симулировать ничего не пришлось: по словам Эванса, команда пентестеров из Syndis обнаружила ряд уязвимостей в ПО Apple, используемом в Dropbox.

Эти уязвимости, по словам Эванса, «не только затрагивает наш парк машин под macOS, но и всех пользователей Safari, у которых была установлена последняя на тот момент версия».

Apple сразу же подтвердила существование уязвимостей и через месяц с небольшим (в конце марта) выпустила необходимые обновления.