Microsoft предупреждает пользователей Mac не обновляться до последней версии macOS Monterey после обнаружения уязвимости в функции Apple Transparency, Approval and Control (TCC).
Использование этой уязвимости может позволить злоумышленникам подделать антитеррористический код, внедрить вредоносное ПО или получить доступ к другому приложению на вашем компьютере.
Представленный в 2012 году в macOS Mountain Lion, TCC помогает контролировать доступ приложений к таким вещам, как камера, микрофон и данные.
Когда приложение запрашивает доступ к защищенным данным, запрос сравнивается с записями, хранящимися в частной базе данных. И если записи существуют, приложению будет отказано или доступ будет предоставлен на основе флага, указывающего уровень доступа, о котором сообщает The Verege.
В противном случае пользователю будет показано приглашение явным образом предоставить или отказать в доступе. Как только пользователь отвечает, этот запрос сохраняется в базе данных, и будущие запросы будут следовать предыдущему вводу пользователя.
По данным Microsoft, уязвимость powerdir, также известная как CVE-2021-30970, дважды использовалась исследователями безопасности. Первый эксплойт «доказательство концепции», по сути, внедрил фальшивый файл базы данных TCC и изменил домашний каталог пользователя.
Сделав это, Microsoft смогла изменить настройки в любом приложении или разрешить доступ к микрофону или камере. Microsoft ненавязчиво смогла дать Teams микрофон и камеру. Microsoft сообщила об этих предварительных результатах Apple в июле 2021 года, хотя эксплойт, похоже, все еще работает, несмотря на то, что Apple исправила аналогичный эксплойт, показанный на Black Hat 2021.
Второе доказательство концепции эксплойта появилось, потому что изменение в инструменте dsimport для macOS Monterey сломало первую уязвимость. Этот новый эксплойт позволяет злоумышленнику использовать внедрение кода для изменения двоичного файла с именем /usr/libexec/configd. Этот дуэт отвечает за внесение общесистемных изменений, включая доступ к базе данных TCC. Это позволило Microsoft незаметно изменить домашний каталог и выполнить атаку того же типа, что и первый эксплойт.
К счастью, Microsoft снова уведомила Apple об уязвимости, и в прошлом месяце она была исправлена. Microsoft призывает пользователей macOS убедиться, что их версия macOS Monterey обновлена до последней версии. Компания также уделила время продвижению своего решения для корпоративной безопасности Defender for Endpoint, которое смогло предотвратить эти уязвимости еще до того, как Apple их исправила.
Были и предыдущие эксплойты TCC, в том числе с использованием встроенного инструмента Apple Time Machine, которые с тех пор также были исправлены. Всегда настоятельно рекомендуется обновлять все свои устройства с помощью последних исправлений, чтобы предотвратить подобные потенциальные эксплойты.
Не стесняйтесь читать подробности эксплойтов Microsoft TCC в их сообщении в блоге безопасности.