Objavljen PoC eksploatacijski kod za ranjivost zaobilaženja macOS TCC

Otkriven je eksploatacijski kod za dokaz koncepta (PoC) za kritičnu ranjivost u macOS-u, identificiran kao CVE-2024-54527.

Ova ranjivost omogućava napadačima da zaobiđu mehanizam zaštite transparentnosti , pristanka i kontrole (TCC), potencijalno omogućavajući neovlašteni pristup osjetljivim korisničkim podacima.

Ranjivost, koja pogađa verzije macOS-a prije Sonoma 14.0, postoji u XPC servisu koji se nalazi na /System/Library/Frameworks/MediaLibrary.framework/Versions/A/XPCServices/com.apple.MediaLibraryService.xpc. Ova usluga posjeduje moćna TCC prava, uključujući “com.apple.private.tcc.manager” i “com.apple.private.tcc.allow”.

Detalji eksploatacije

Prema istraživaču, eksploatacija iskorištava činjenicu da ranjivi XPC servis nije potpisan ni Hardened Runtime ni provjerom valjanosti biblioteke. Napadač to može iskoristiti na sljedeći način:

1. Postavljanje zlonamjernog dodatka u korisnički folder Biblioteka
2. Pokretanje XPC usluge za učitavanje dodatka
3. Stjecanje TCC prava usluge na zaobilaznu zaštitu

Istraživač koji je otkrio ranjivost učitao je kod za eksploataciju, pokazujući ozbiljnost problema.

Ova TCC zaobilaznica može omogućiti hakerima da:

• Pristupite korisničkim fotografijama, kontaktima i drugim osjetljivim podacima
• Izmijenite TCC postavke direktno
• Potencijalno eskalirati privilegije na sistemu

Apple je riješio ovu ranjivost u macOS Sonoma 14.0 i novijim verzijama. Ispravka uključuje novo smanjenje sigurnosti u AppleMobileFileIntegrity.kext, pod nazivom “enforceTCCEntitlementHardening”.

Ovo ublažavanje nameće strože kontrole nad procesima sa specifičnim pravima vezanim za TCC:

• Procesi s ovlaštenjima “com.apple.private.tcc.allow” ili “com.apple.private.tcc.manager” sada su prisilno ojačani provjerom valjanosti biblioteke u vrijeme izvođenja
• Ranjivi XPC servis je sada potpisan sa Hardened Runtime
• Dodatno pravo, “com.apple.private.amfi.version-restriction”, implementirao je kako bi se spriječili napadi na niže verzije

Preporuke

Korisnicima i administratorima se toplo savjetuje da:

1. Odmah ažurirajte na najnoviju verziju macOS-a
2. Budite oprezni kada pokrećete nepotpisane ili nepouzdane aplikacije
3. Pratite aktivnost sistema za bilo kakvo sumnjivo ponašanje

Iako je Apple zakrpio ovaj specifičan problem, on naglašava važnost kontinuiranih sigurnosnih ažuriranja i potencijalne rizike povezane sa moćnim sistemskim uslugama.

Kako su detalji ove ranjivosti sada javni, ključno je da korisnici ostanu na oprezu i održavaju svoje sisteme ažurnim kako bi se zaštitili od potencijalnih eksploatacija zasnovanih na ovoj i sličnim ranjivostima.

Izvor: CyberSecurityNews