Microsoft ontdekt lek in macOS om Gatekeeper-beveiliging te omzeilen

[Captain Kirk]

Microsoft heeft eind juli een kwetsbaarheid in macOS ontdekt waardoor de Gatekeeper-beveiliging van het besturingssysteem is te omzeilen. Apple kwam op 24 oktober met een update voor het probleem (CVE-2022-42821), maar vermeldde dit in eerste instantie niet in het beveiligingsbulletin. De kwetsbaarheid werd pas vorige week door Apple aan de reeks met opgeloste problemen toegevoegd.

Gatekeeper moet ervoor zorgen dat alleen vertrouwde apps worden uitgevoerd. De kwetsbaarheid die Microsoft-onderzoeker Jonathan Bar Or ontdekte maakte het mogelijk om deze controle te omzeilen. Wanneer Mac-gebruikers een applicatie via de browser downloaden wordt er een speciaal attribuut aan het gedownloade bestand toegevoegd. Dit attribuut wordt vervolgens gebruikt voor de Gatekeeper-controle.

Gatekeeper kijkt of het om een gesigneerd en door Apple goedgekeurd bestand gaat. Vervolgens verschijnt er een prompt voordat de app wordt gestart. Is de app niet gesigneerd en door Apple genotarized, dan zal de gebruiker een waarschuwing te zien krijgen dat de app niet kan worden gestart.

Bar Or ontdekte dat het door middel van Access Control Lists (ACLs), een mechanisme voor het instellen van permissies van bestanden of directories, mogelijk is om ervoor te zorgen dat het speciale attribuut niet aan het gedownloade bestand kan worden toegevoegd. Daardoor ziet macOS het niet als een bestand afkomstig van internet en zal het gewoon zonder verdere meldingen uitvoeren. Om misbruik van de kwetsbaarheid te maken zou een slachtoffer wel eerst een malafide bestand moeten downloaden en openen.

 

bron: https://www.security.nl