آسیب‌پذیری در روند اعتبارسنجی امضاء، چندین محصول امنیتی برای مک را تحت تاثیر قرار داده است

آسیب‌پذیری در روند اعتبارسنجی امضاء، چندین محصول امنیتی برای مک را تحت تاثیر قرار داده است

چهارشنبه, ۲۳ خرداد, ۱۳۹۷ ساعت ۱۶:۱۷

 

در نحوه‌ی پیاده‌سازی واسط‌های برنامه‌نویسی امضای کد اپل، توسط شرکت‌های امنیتی شخص ثالث، یک آسیب‌پذیری چندساله کشف شده است. مهاجم با بهره‌برداری از این آسیب‌پذیری می‌تواند بررسی‌های امنیتی اپل را دور بزند. میلیون‌ها کاربر اپل در معرض بهره‌برداری از این آسیب‌پذیری قرار گرفته‌اند.


یک محقق امنیتی از شرکت Okta کشف کرد که چندین محصول امنیتی شخص ثالث برای مک مانند محصولات Little Snitch ،F-Secure xFence ،VirusTotal، Google Santa و Facebook OSQuery می‌توان کاری کرد که برنامه باور کند که یک کد مخربِ امضاءنشده، توسط اپل امضاء شده است. سازوکار امضای کد یک راه حیاتی برای مقابله با بدافزار است که به کاربر کمک می‌کند تا بفهمد چه کسی برنامه را امضاء کرده و کد مربوط به آن دست‌کاری نشده است.


با این حال این محقق امنیتی نشان داد که در برخی از محصولات امنیتی برای مک، این سازوکار بررسی امضای کد قابل دور زدن است. این دور زدن اجازه می‌دهد تا کد مخرب در قالبی ارائه شود که مانند برنامه‌ی قانونی عمل می‌کند و شرکت اپل آن را امضاء کرده است. 


نکته‌ای که باید به آن اشاره شود این است که این آسیب‌پذیری مربوط به سیستم macOS نبوده و مربوط به نحوه‌ی پیاده‌سازی واسط‌های برنامه‌نویسی اپل برای امضای کد توسط برنامه‌های امنیتی شخص ثالث است. این برنامه‌های شخص ثالث زمانی‌که با فایل‌های اجرایی مک Universal/Fat مواجه می‌شوند، در پیاده‌سازی واسط‌های برنامه نویسی امضای کد آن‌ها مشکل وجود دارد. 


برای بهره‌برداری از این آسیب‌پذیری، مهاجم باید از فرمت‌های باینری Universal/Fat که حاوی تعدادی فایل Mach-O هستند و برای پردازنده‌های با معماری‌های مختلف نوشته شده‌اند استفاده کند. این محقق چندین فایل جعلی با فرمت‌های Universal/Fat را به‌عنوان کد اثبات مفهومی تولید کرده تا تولیدکنندگان این محصولات امنیتی بتوانند این آسیب‌پذیری را بررسی کنند. مهاجم با بهره‌برداری موفق از این آسیب‌پذیری می‌تواند به اطلاعات شخصی، جزئیات مالی و حتی اطلاعات حساس داخلی دسترسی داشته باشد.


در ادامه شرکت‌هایی که محصولات امنیتی آن‌ها برای اپل تحت تاثیر این آسیب‌پذیری قرار گرفته را به همراه شناسه‌ی آسیب‌پذیری برای هر محصول مشاهده می‌کنید. 


VirusTotal (CVE-2018-10408)
Google—Santa, molcodesignchecker (CVE-2018-10405)
Facebook—OSQuery (CVE-2018-6336)
Objective Development—LittleSnitch (CVE-2018-10470)
F-Secure—xFence and LittleFlocker (CVE-2018-10403)
Objective-See—WhatsYourSign, ProcInfo, KnockKnock, LuLu, TaskExplorer and others (CVE-2018-10404)
Yelp—OSXCollector (CVE-2018-10406)
Carbon Black—Cb Response (CVE-2018-10407)


این محقق امنیتی ابتدا این آسیب‌پذیری را در ماه مارس به شرکت اپل گزارش داد ولی اپل معتقد بود که این اشکالی نیست که توسط این شرکت برطرف شود. در ادامه شرکت امنیتی با CERT/CC تماس گرفت تا به تمامی شرکت‌های شخص ثالث که محصولاتشان تحت تاثیر قرار گرفته، اطلاع داده شود تا در اسرع وقت این آسیب‌پذیری را وصله کنند. 


شکرت گوگل از این محقق و از این شرکت امنیتی تشکر کرده و با به‌روزرسانی در Santa در اواخر ماه آوریل این آسیب‌پذیری را وصله کرده است. بنابراین به کاربران اکیدا توصیه می‌شود تا به آخرین نسخه‌ی محصول Santa v0.9.25 به‌روزرسانی انجام دهند. شرکت فیس‌بوک نیز در آخرین نسخه‌ی Osquery این آسیب‌پذیری را برطرف کرده که در حال حاضر قابل دانلود است. F-Secure هم برای کاربران xFENCE به‌روزرسانی خودکاری را در نظر گرفته تا آسیب‌پذیری را وصله کند. 


اگر شما نیز از محصولاتی که فهرست آن‌ها در بالا ارائه شد، استفاده می‌کنید توصیه می‌کنیم تا در چند روز آینده پیگیر آخرین به‌روزرسانی این محصولات باشد و هرچه سریع‌تر آن‌ها را نصب کنید تا جلوی بهره‌برداری از این آسیب‌پذیری در این محصولات گرفته شود.

 

منبع
 


دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

ده + 20 =