В 2022 году исследователь безопасности Микко Кенттала обнаружил уязвимость нулевого дня в календаре macOS, которая позволяла злоумышленникам добавлять или удалять файлы в изолированной среде приложения «Календарь». Уязвимость давала возможность выполнять вредоносный код и получать доступ к конфиденциальным данным, хранящимся на устройстве жертвы, включая фотографии iCloud.
Как работала уязвимость
Эксплойт начинался с того, что злоумышленник отправлял приглашение в календарь, содержащее вредоносное вложение. Имя файла не проходило надлежащую проверку, что позволяло атакующему выполнить атаку типа «directory traversal» (переход по каталогам), то есть манипулировать путём файла и размещать его в непредназначенных для этого местах.
Уязвимость (CVE-2022-46723) позволяла злоумышленникам перезаписывать или удалять файлы внутри файловой системы приложения. Например, если атакующий отправлял файл с именем «FILENAME=../../../malicious_file.txt», он помещался вне предназначенной директории в более опасное место в файловой системе пользователя.
Эскалация атаки
Злоумышленники могли дальше развивать атаку, используя возможность произвольной записи файлов. Они могли внедрять вредоносные файлы календаря, разработанные для выполнения кода при обновлении macOS, особенно при переходе с Monterey на Ventura.
Эти файлы содержали события с функциями оповещения, которые срабатывали при обработке системой данных календаря. Внедрённые файлы могли содержать код для автоматического запуска таких файлов, как образы .dmg и ярлыки .url, что в конечном итоге приводило к удалённому выполнению кода (RCE).
В итоге злоумышленник мог полностью захватить контроль над Mac без ведома или участия пользователя.
Исправление и защита
К счастью, эта уязвимость давно не новая. Apple исправила её в нескольких обновлениях с октября 2022 года по сентябрь 2023 года. Эти исправления включали усиление разрешений файлов внутри приложения и добавление дополнительных уровней безопасности для предотвращения эксплуатации уязвимости.
Чтобы защититься от уязвимостей типа «zero-click», подобных обнаруженной в календаре macOS, важно соблюдать несколько мер предосторожности. В первую очередь, всегда поддерживайте программное обеспечение в актуальном состоянии. Apple регулярно выпускает патчи, устраняющие проблемы безопасности, и включение автоматических обновлений гарантирует получение критически важных исправлений.
Кроме того, укрепите настройки безопасности устройства, ограничив доступ приложений к конфиденциальным данным, таким как ваш календарь, фотографии и файлы.
Этот инцидент подчёркивает важность постоянной бдительности в сфере кибербезопасности. Даже такие привычные приложения могут содержать уязвимости, которые злоумышленники способны использовать для компрометации ваших данных. Регулярное обновление системы и внимательное отношение к получаемым приглашениям и файлам помогут снизить риски и защитить личную информацию.
Ещё по теме: