Peneliti keamanan di Microsoft telah menemukan bug di macOS yang memungkinkan aplikasi jahat melewati perangkat lunak keamanan Gatekeeper Apple “untuk akses awal oleh malware dan ancaman lainnya.”
Dijuluki “Achilles,” (yang terdengar lebih seksi dari CVE-2022-42821) Peneliti Microsoft mengatakan kerentanan ditemukan pada akhir Juli, dan dengan cepat ditambal oleh Apple di semua versi OS yang terpengaruh setelah tim mengikuti pengungkapan yang bertanggung jawab.
Terlepas dari perbaikan itu, masih penting bagi pengguna macOS untuk menambal sistem mereka ke versi terbaru yang dilindungi, kata Microsoft, karena Mode Penguncian Apple yang banyak dipuji tidak dirancang untuk melindungi dari ancaman gaya Achilles.
“Pengguna akhir harus menerapkan perbaikan terlepas dari status Mode Lockdown mereka,” kata Microsoft.
Cara mengalihkan perhatian Gatekeeper
Gatekeeper telah menjadi bagian dari macOS selama satu dekade dan digunakan untuk memvalidasi bahwa aplikasi ditandatangani dan disahkan sebelum mengizinkannya diluncurkan. Jika aplikasi tidak dikenali, Gatekeeper memblokirnya secara default, meskipun hal ini dapat diganti oleh pengguna yang bersedia menerima risikonya.
Namun, dengan Achilles, bukti konsep Microsoft dapat memanfaatkan cara macOS menyebarkan daftar kontrol akses (ACL) ke sepenuhnya melewati Gatekeeper.
Infeksi dengan macOS sering kali disebabkan oleh pengguna yang menjalankan aplikasi jahat, peneliti keamanan utama Microsoft Jonathan Bar Or menulis di perusahaan laporan pada bug. Dia mengatakan bahwa Apple telah memberlakukan “mekanisme keamanan yang kuat” pada macOS untuk memerangi penggunaan malware yang disamarkan atau aplikasi yang sah tetapi terinfeksi.
Apple melakukannya dengan menetapkan atribut tambahan khusus ke file yang digunakannya untuk menegakkan kebijakan tertentu, seperti karantina Gatekeeper. Tetapi dalam proses penelitian melewati Gatekeeper baru-baru ini, tim menemukan dua pendekatan umum: menyalahgunakan atribut yang diperluas dan menemukan kerentanan dalam penegakan pemeriksaan kebijakan yang mengkarantina file.
Melihat lebih dekat pada satu kerentanan tertentu yang dilaporkan pada tahun 2021 membuat para peneliti beralih ke file arsip sebagai metode untuk melewati Gatekeeper, dan mereka menemukannya dalam bentuk biner AppleDouble, yang menyimpan metadata dalam file terpisah.
Saat file AppleDouble diekstrak oleh macOS, mereka menemukan, semua atribut ekstensi file juga dipulihkan. Selipkan atribut yang diperluas ke kanan dengan menggunakan xattr perintah, seperti ACL yang dimodifikasi, dan Kamu memiliki cara untuk memberi tahu Gatekeeper bahwa apa pun yang dilihatnya pasti bukan file yang dicari, kata Bar Orr.
“Data kami menunjukkan bahwa aplikasi palsu tetap menjadi salah satu vektor entri teratas di macOS, menunjukkan teknik bypass Gatekeeper adalah kemampuan yang menarik dan bahkan diperlukan untuk dimanfaatkan musuh dalam serangan,” tulis Bar Or.
Mode Lockdown, mode schmockdown
Apple mengklaim pada bulan Juli bahwa Mode Penguncian sangat aman, dan perusahaan sangat percaya diri dengan kemampuannya, sehingga menggandakan pembayaran hadiah bug hingga maksimal $2 juta untuk kompromi Mode Penguncian.
Mode Penguncian dijelaskan oleh Apple sebagai sejumlah kecil pengguna yang kehidupan dan/atau pekerjaannya menjadikan mereka target ancaman digital. Mode opsional dirancang untuk melawan kit spyware yang disponsori pemerintah seperti Pegasus dengan memblokir lampiran, menonaktifkan beberapa teknologi web, memblokir panggilan FaceTime, tidak mengizinkan koneksi kabel, dan memblokir pemasangan profil konfigurasi dan perangkat lunak MDM.
Menyelinap kode berbahaya melalui biner yang dikompromikan, sayangnya, bukan salah satu fitur Mode Lockdown, meskipun Apple mengatakan berencana untuk menambahkan fitur dari waktu ke waktu – semoga Gatekeeper yang lebih kuat berhasil.
Sayangnya untuk Bar Or dan Microsoft, Achilles tidak memenuhi syarat untuk hadiah Mode Lockdown dalam ukuran apa pun. “Mode Lockdown tidak dimaksudkan untuk menangani kelas eksploitasi ini, jadi itu tidak akan menghentikannya,” kata Bar Or kepada kami. ®