تقول Microsoft إن الجهات الفاعلة في التهديد يمكن أن تستخدم ثغرة في نظام macOS لتجاوز تقنية الشفافية والموافقة والتحكم (TCC) Transparency, Consent, and Control للوصول إلى بيانات المستخدمين المحمية.
أبلغ فريق أبحاث Microsoft 365 Defender عن الثغرة الأمنية التي يطلق عليها powerdir (التي تم تتبعها كـ CVE-2021-30970) لشركة Apple في 15 يوليو 2021، عبر Microsoft Security Vulnerability Research (MSVR).
TCC هي تقنية أمان مصممة لمنع التطبيقات من الوصول إلى بيانات المستخدم الحساسة من خلال السماح لمستخدمي macOS بتكوين إعدادات الخصوصية للتطبيقات المثبتة على أنظمتهم وأجهزتهم المتصلة بأجهزة Mac الخاصة بهم، بما في ذلك الكاميرات والميكروفونات.
بينما قامت Apple بتقييد الوصول إلى TCC فقط للتطبيقات ذات الوصول الكامل إلى القرص وإعداد ميزات لحظر تنفيذ التعليمات البرمجية غير المصرح به تلقائيًا، وجد باحثو الأمن في Microsoft أن المهاجمين يمكنهم زرع قاعدة بيانات TCC ثانية مصممة خصيصًا تسمح لهم بالوصول إلى معلومات المستخدم المحمية.
قال Jonathan Bar Or، الباحث الأمني الرئيسي في Microsoft: "اكتشفنا أنه من الممكن تغيير الدليل الرئيسي للمستخدم المستهدف برمجيًا وزرع قاعدة بيانات TCC مزيفة، والتي تخزن سجل الموافقة لطلبات التطبيق".
"إذا تم استغلال هذه الثغرة الأمنية على أنظمة غير مصححة، فقد تسمح لممثل ضار بتنظيم هجوم بناءً على البيانات الشخصية المحمية للمستخدم.
"على سبيل المثال، يمكن للمهاجم اختطاف تطبيق مثبت على الجهاز- أو تثبيت تطبيقه الضار- والوصول إلى الميكروفون لتسجيل المحادثات الخاصة أو التقاط لقطات شاشة للمعلومات الحساسة المعروضة على شاشة المستخدم".
قامت Apple أيضًا بتصحيح عمليات تجاوز TCC الأخرى التي تم الإبلاغ عنها منذ عام 2020، بما في ذلك:
- Time Machine mounts (CVE-2020-9771): يوفر macOS حلاً مدمجًا للنسخ الاحتياطي والاستعادة يسمى Time Machine. تم اكتشاف أنه يمكن تركيب نُسخ احتياطية من Time Machine (باستخدام الأداة المساعدة apfs_mount) بعلامة "noowners". نظرًا لأن هذه النسخ الاحتياطية تحتوي على ملفات TCC.db، يمكن للمهاجم تحميل تلك النسخ الاحتياطية وتحديد سياسة TCC للجهاز دون الحصول على وصول كامل إلى القرص.
- Environment variable poisoning (CVE-2020-9934): تم اكتشاف أن ملف tccd الخاص بالمستخدم يمكنه إنشاء المسار إلى ملف TCC.db عن طريق توسيع $ HOME/ Library/ Application Support/ com.apple.TCC/ TCC.db. نظرًا لأنه يمكن للمستخدم معالجة متغير البيئة $ HOME (كما تم تقديمه إلى tccd بواسطة launchd)، يمكن للمهاجم زرع ملف TCC.db مختار في مسار عشوائي، وإفساد متغير البيئة $ HOME، وجعل TCC.db يستهلك هذا الملف بدلاً من ذلك .
- Bundle conclusion issue (CVE-2021-30713): تم الكشف عنها لأول مرة بواسطة Jamf في منشور مدونة حول عائلة البرامج الضارة XCSSET، وقد أساء هذا الخطأ كيفية استنتاج macOS لمعلومات حزمة التطبيق. على سبيل المثال، افترض أن أحد المهاجمين يعرف تطبيقًا محددًا لديه عادةً وصول إلى الميكروفون. في هذه الحالة، يمكنهم زرع رمز التطبيق الخاص بهم في حزمة التطبيق الهدف و "اكتساب" إمكانات رمز التطبيق TCC الخاص به.
أبلغ فريق أبحاث Microsoft 365 Defender عن الثغرة الأمنية التي يطلق عليها powerdir (التي تم تتبعها كـ CVE-2021-30970) لشركة Apple في 15 يوليو 2021، عبر Microsoft Security Vulnerability Research (MSVR).
TCC هي تقنية أمان مصممة لمنع التطبيقات من الوصول إلى بيانات المستخدم الحساسة من خلال السماح لمستخدمي macOS بتكوين إعدادات الخصوصية للتطبيقات المثبتة على أنظمتهم وأجهزتهم المتصلة بأجهزة Mac الخاصة بهم، بما في ذلك الكاميرات والميكروفونات.
بينما قامت Apple بتقييد الوصول إلى TCC فقط للتطبيقات ذات الوصول الكامل إلى القرص وإعداد ميزات لحظر تنفيذ التعليمات البرمجية غير المصرح به تلقائيًا، وجد باحثو الأمن في Microsoft أن المهاجمين يمكنهم زرع قاعدة بيانات TCC ثانية مصممة خصيصًا تسمح لهم بالوصول إلى معلومات المستخدم المحمية.
قال Jonathan Bar Or، الباحث الأمني الرئيسي في Microsoft: "اكتشفنا أنه من الممكن تغيير الدليل الرئيسي للمستخدم المستهدف برمجيًا وزرع قاعدة بيانات TCC مزيفة، والتي تخزن سجل الموافقة لطلبات التطبيق".
"إذا تم استغلال هذه الثغرة الأمنية على أنظمة غير مصححة، فقد تسمح لممثل ضار بتنظيم هجوم بناءً على البيانات الشخصية المحمية للمستخدم.
"على سبيل المثال، يمكن للمهاجم اختطاف تطبيق مثبت على الجهاز- أو تثبيت تطبيقه الضار- والوصول إلى الميكروفون لتسجيل المحادثات الخاصة أو التقاط لقطات شاشة للمعلومات الحساسة المعروضة على شاشة المستخدم".
قامت Apple أيضًا بتصحيح عمليات تجاوز TCC الأخرى التي تم الإبلاغ عنها منذ عام 2020، بما في ذلك:
- Time Machine mounts (CVE-2020-9771): يوفر macOS حلاً مدمجًا للنسخ الاحتياطي والاستعادة يسمى Time Machine. تم اكتشاف أنه يمكن تركيب نُسخ احتياطية من Time Machine (باستخدام الأداة المساعدة apfs_mount) بعلامة "noowners". نظرًا لأن هذه النسخ الاحتياطية تحتوي على ملفات TCC.db، يمكن للمهاجم تحميل تلك النسخ الاحتياطية وتحديد سياسة TCC للجهاز دون الحصول على وصول كامل إلى القرص.
- Environment variable poisoning (CVE-2020-9934): تم اكتشاف أن ملف tccd الخاص بالمستخدم يمكنه إنشاء المسار إلى ملف TCC.db عن طريق توسيع $ HOME/ Library/ Application Support/ com.apple.TCC/ TCC.db. نظرًا لأنه يمكن للمستخدم معالجة متغير البيئة $ HOME (كما تم تقديمه إلى tccd بواسطة launchd)، يمكن للمهاجم زرع ملف TCC.db مختار في مسار عشوائي، وإفساد متغير البيئة $ HOME، وجعل TCC.db يستهلك هذا الملف بدلاً من ذلك .
- Bundle conclusion issue (CVE-2021-30713): تم الكشف عنها لأول مرة بواسطة Jamf في منشور مدونة حول عائلة البرامج الضارة XCSSET، وقد أساء هذا الخطأ كيفية استنتاج macOS لمعلومات حزمة التطبيق. على سبيل المثال، افترض أن أحد المهاجمين يعرف تطبيقًا محددًا لديه عادةً وصول إلى الميكروفون. في هذه الحالة، يمكنهم زرع رمز التطبيق الخاص بهم في حزمة التطبيق الهدف و "اكتساب" إمكانات رمز التطبيق TCC الخاص به.
قامت Apple بإصلاح الثغرة الأمنية في التحديثات الأمنية التي تم إصدارها الشهر الماضي، في 13 ديسمبر 2021. وأوضحت الشركة في تقرير استشاري للأمان: "قد يتمكن تطبيق ضار من تجاوز تفضيلات الخصوصية".
عالجت Apple المشكلة المنطقية وراء خطأ ثغرة الأمان في powerdir من خلال إدارة الحالة المحسّنة.
وأضاف Jonathan Bar Or: "خلال هذا البحث، كان علينا تحديث استغلال إثبات المفهوم (POC) proof-of-concept لأن الإصدار الأولي لم يعد يعمل على أحدث إصدار من macOS، Monterey".
"يوضح هذا أنه حتى مع زيادة صلابة macOS أو أنظمة التشغيل والتطبيقات الأخرى مع كل إصدار، فإن بائعي البرامج مثل Apple والباحثين الأمنيين ومجتمع الأمان الأكبر يحتاجون إلى العمل معًا باستمرار لتحديد الثغرات الأمنية وإصلاحها قبل أن يتمكن المهاجمون من الاستفادة منها معهم".
أبلغت Microsoft سابقًا عن العثور على ثغرة أمنية يطلق عليها Shrootless والتي من شأنها أن تسمح للمهاجم بتجاوز حماية تكامل النظام (SIP) System Integrity Protection وتنفيذ عمليات تعسفية ورفع الامتيازات إلى الجذر وتثبيت ملفات rootkits على الأجهزة الضعيفة.
اكتشف باحثو الشركة أيضًا متغيرات جديدة لبرنامج macOS WizardUpdate الضار (المعروف أيضًا باسم UpdateAgent أو Vigram)، تم تحديثه بأساليب التهرب والمثابرة الجديدة.
في العام الماضي، في يونيو، كشف ريدموند Redmond عن أخطاء حاسمة في البرامج الثابتة في بعض طرز أجهزة التوجيه NETGEAR التي يمكن للقراصنة استخدامها لاختراق شبكات المؤسسات والتحرك بشكل جانبي.
عالجت Apple المشكلة المنطقية وراء خطأ ثغرة الأمان في powerdir من خلال إدارة الحالة المحسّنة.
وأضاف Jonathan Bar Or: "خلال هذا البحث، كان علينا تحديث استغلال إثبات المفهوم (POC) proof-of-concept لأن الإصدار الأولي لم يعد يعمل على أحدث إصدار من macOS، Monterey".
"يوضح هذا أنه حتى مع زيادة صلابة macOS أو أنظمة التشغيل والتطبيقات الأخرى مع كل إصدار، فإن بائعي البرامج مثل Apple والباحثين الأمنيين ومجتمع الأمان الأكبر يحتاجون إلى العمل معًا باستمرار لتحديد الثغرات الأمنية وإصلاحها قبل أن يتمكن المهاجمون من الاستفادة منها معهم".
أبلغت Microsoft سابقًا عن العثور على ثغرة أمنية يطلق عليها Shrootless والتي من شأنها أن تسمح للمهاجم بتجاوز حماية تكامل النظام (SIP) System Integrity Protection وتنفيذ عمليات تعسفية ورفع الامتيازات إلى الجذر وتثبيت ملفات rootkits على الأجهزة الضعيفة.
اكتشف باحثو الشركة أيضًا متغيرات جديدة لبرنامج macOS WizardUpdate الضار (المعروف أيضًا باسم UpdateAgent أو Vigram)، تم تحديثه بأساليب التهرب والمثابرة الجديدة.
في العام الماضي، في يونيو، كشف ريدموند Redmond عن أخطاء حاسمة في البرامج الثابتة في بعض طرز أجهزة التوجيه NETGEAR التي يمكن للقراصنة استخدامها لاختراق شبكات المؤسسات والتحرك بشكل جانبي.
