Adware giver sig selv root-adgang via Mac-sikkerhedshul

Illustration: leowolfert/Bigstock
Et sikkerhedshul, som Apple endnu ikke har lukket, i Mac OS X, bliver nu brugt til at installere uønskede programmer ved at ændre i sudoers-filen.

Et sikkerhedshul, der giver mulighed for at få root-adgang i Mac OS X, bliver nu brugt til at sprede adware, skriver Ars Technica.

Sikkerhedshullet findes i den senest opdaterede version af Apples styresystem, og Apple har endnu ikke frigivet en sikkerhedsopdatering, som lukker hullet. Apple var orienteret om sikkerhedshullet fra én sikkerhedsekspert, men en anden fandt den samme sårbarhed og offentliggjorde den.

Nu bliver sikkerhedshullet ifølge Malwarebytes udnyttet i forbindelse med spredningen af adware, altså uønskede programmer, som enten viser reklamer eller forsøger at lokke brugeren til at betale for unødvendig software gennem eksempelvis falske virusadvarsler.

Sikkerhedshullet er af den type, som ikke direkte kan udnyttes ved eksempelvis blot at besøge en hjemmeside, men det kan gøre det muligt at udnytte et mindre alvorligt sikkerhedshul i for eksempel en browser til at installere ondsindede programmer.

Sårbarheden findes i en komponent i Mac OS X kaldet DYLD_PRINT_TO_FILE, og ifølge Malwarebytes bliver det nu udnyttet til at ændre i en vigtig sikkerhedskomponent i Mac OS X, nemlig sudoers-filen. Det er den fil, der bestemmer, hvilke brugere der kan bruge sudo-kommandoen til at afvikle kode med root-rettigheder.

Dermed bliver det muligt at afvikle et program med brugerens begrænsede rettigheder og derefter eskalere til root-adgang uden at indtaste et root-kodeord. I det konkrete tilfælde installeres et program med root-rettigheder, som derefter kan bruges til at installere en række andre uønskede programmer.

Da der er tale om et sikkerhedshul, som enten kræver et andet sikkerhedshul, eller at brugeren snydes til at afvikle det ondsindede script, så er det bedste råd ifølge Malwarebytes at udvise påpasselighed med download og eksekvering af filer, indtil Apple frigiver en opdatering til Mac OS X.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Brian Hansen

Ik så meget nyt under solen, bortset fra at det på Mac normalt ville afføde en hel række advarsler og prompter når man vil installere noget, men her gøres det uden prompte.
Men det er fortsat en ganske vslid måde at sprede malware på. Nogen folk klikker på alt de får tilsendt... :|

  • 0
  • 0
Uffe Seerup

Ah, så hvis du downloader og eksekverer ukendt og skadelig kode på din maskine, kan banditter efterfølgende afvikle ukendt og skadelig kode på din maskine.

En bug I Firefox, Safari eller Chrome, og angriberen er en lokal bruger på maskinen. Med en privilege escalation bug er han så root. Og det er ikke så godt.

Hvis du ikke mener at beskyttelse af root niveau ikke er vigtigt, hvorfor så overhovedet prompte for password når man installerer?

  • 1
  • 0
Jakob Damkjær

Så endnu en asshole sikkerhedsforsker der gør Apple opmærksom på et sikkerhedsproblem men da Apples løsning ikke er fuldstændig for alle situationer i universet og nabo paralleluniverser ser sikkerhedsforskeren den workaround de kan lave som en NY bug som så ville medføre en ny karantæne periode... men istedet skal de lige ha deres 5 minutter som IT sec røvhul... flot golfklap... du er nu ikke længer whitehat

The dyld vuln is patched in OS X 10.10.5… should be out in general availability soon.

https://twitter.com/rmogull/status/628632921474109441

  • 2
  • 4
Uffe Seerup

Patched in 10.10.5 der kommer snart...

Ja, "sikkerhedsforskere" tænker nogle gange mere på deres eget ego end på det community de hævder at være med til at beskytte gennem deres "forskning".

Problemet her er dog lidt mere kompliceret, fordi Apple allerede (utilsigtet, men naivt) havde ladet informationen lække gennem en beta hvor sårbarheden var lukket.

Og dét er Apples problem: De rettede en alvorlig sikkerhedsfejl offentliggjorde den med en beta af den næste version.

For en angriber er dét bedre end en security disclosure: Det eneste han behøver at gøre er at diff'e (evt. decompile og diff'e) og interessere sig for forskellene. Det kunne meget vel være sådan at Stefan Esser fandt problemet.

Det er bedre (for angriberen) fordi "the good guys" endnu ikke kender til sårbarheden og der dermed er et vindue hvor den kan udnyttes.

Når dét sker så er det i vores allesammens interesse at vi får at vide at sårbarheden eksisterer - og muligvis hvordan man kan beskytte sig selv.

Apple har for vane først at patche ældre versioner et stykke tid efter den nyeste. På den måde er de oven i købet med til at kultivere sådan en "diff" kultur: Du kan finde sårbarheder i ældre versioner som endnu ikke er patchet.

Det er naivt af Apple at tro at man kan flyve under radaren med sådanne rettelser. Hvis de mener at fejlen ikke udnyttes aktuelt (såkaldt "low risk period") så lad være med at implicit offentliggøre fejlen. Så bliver alle dage indtil endelig patch nemlig "high risk": Angribere har informationen men patch er ikke klar endnu.

Og så må man bare notere sig at SUID/setuid endnu engang er årsagen til et alvorligt root sikkerhedshul. SUID/setuid er et bevidst hul i Unix/Linux sikkerhedsmodellen fordi den udtryksmæssigt er for svag til at beskrive de egentlige behov i et moderne OS - som fx at en bruger kan ændre sit eget password men ikke andres.

  • 3
  • 0
Jakob Damkjær

Hvordan ?

Mener du min kommentar er irelevant eller er det bare fordi den forstyre din "Apple er 100% idioter når det kommer til sikkerhed" tankestrøm at du hopper til et ad honiem argument som dit førstevalg?

PS! Kan kategorisk afvise at jeg nogenside har modtaget nogen økonomisk eller anden kompensation fra Apple og ejer heller ikke nogen Apple aktier eller obligationer. Så hvis du nu husker det til en anden gang så kan du måske undlade at blamere dig selv med din begrænsede evne til at argumentere med folk der ikke er enige med dig. Prøv med nogen argument typer der er acceptable i almindeligt godt selskab.

  • 2
  • 2
Log ind eller Opret konto for at kommentere