นักวิจัยพบช่องโหว่ Bypass การป้องกันของ macOS

Patrick Wardle ผู้ก่อตั้งและหัวหน้าทีมวิจัยจาก Digita Security บริษัทเชี่ยวชาญด้านความมั่นคงปลอดภัยของ macOS ได้เปิดเผยถึงการค้นพบช่องโหว่ใหม่ที่ทำให้ผู้โจมตีสามารถลัดผ่านการป้องกันเพื่อเข้าใช้งานฟีเจอร์ Synthetic Event ได้

credit : Apple.com

Synthetic Event เป็นกลไกที่เปิดให้แอปพลิเคชันสร้างคลิกเมาส์หรือกดคีย์บอร์ดได้อย่างอัตโนมัติผ่านทางที่ใช้ได้ผ่านทาง Core Graphic Framework หรือ AppleScript ซึ่งแน่นอนว่ามีมัลแวร์ที่นำความสามารถนี้ไปใช้งานเช่น ลัดผ่านการป้องกันด้านความมั่นคงปลอดภัยของ Apple หรือ Third-party, ขโมยรายชื่อติดต่อ, ปรับแต่งค่า Preference ของ OS, เข้าถึง Webcam และ รันคำสั่งใน Terminal เป็นต้น ทั้งนี้ในปี 2018 ทาง Apple ได้ประกาศมาตรการป้องกันการเข้าถึง Synthetic Event แล้วแต่ดูเหมือนการป้องกันจะไม่ได้ผลเช่นนั้นเพราะนักวิจัยได้พบช่องโหว่ใหม่ที่ช่วยลัดผ่านการป้องกันข้างต้นให้เข้าถึง Synthetic Event ได้อีก

ไอเดียของช่องโหว่นั้นเกิดขึ้นกับระบบ Transparency Consent and Control (TCC) ที่คอยดูแลฐานข้อมูลสำหรับการตั้งค่าการควบคุมด้าน Privacy ซึ่งภายในประกอบด้วยการอนุญาตแอปพลิเคชันในการเข้าถึง โดยได้มีการทำ Whitelist รายชื่อแอปที่อนุญาตไว้ใน AllowApplicationsList.plist สำหรับอ้างอิงในการเข้าถึงฟังก์ชันจากแอปในเวอร์ชันต่างๆ ซึ่งนักวิจัยชี้ว่าการ Verify ทำได้ไม่ดีพอ ด้วยเหตุนี้เองเพียงแค่แฮ็กเกอร์เลือกแอปพลิเคชันที่ถูกอนุญาตมาแก้ไขก็จะสามารถเข้าถึง Synthetic Event ได้

โดยนักวิจัยกล่าวว่า “VLC เป็นหนึ่งในแอปพลิเคชันที่ได้รับการยกเว้น ซึ่งอันที่จริงแล้ว Apple มีเจตนาที่จะตรวจสอบแล้วว่าเป็นแอปพลิเคชันจริงและไม่ได้ถูกแก้ไขด้วยการดูข้อมูล Code-signing อย่างไรก็ตามประเด็นคือการตรวจสอบยังไม่ดีพอเพราะพวกเขาตรวจเพียงว่าแอปถูก Sign แล้วจากคนที่พวกเขาคิดว่าน่าเชื่อถือแต่ไม่ได้ครอบคลุมไปถึง Executable และทรัพยากรในแอปพลิเคชัน ประเด็นคือเพียงแค่โหลด Plugin อันตรายของ VLC มาลงก็เข้าถึง Synthetic ได้นั่นเอง“–นักวิจัยกล่าว

อย่างไรก็ตามปัจจุบัน Wardle ได้แจ้งช่องโหว่แก่ Apple เรียบร้อยแล้วคาดว่าจะมีแพตช์ออกมาเร็ววันนี้แต่ไม่ต้องตกใจไปเพราะช่องโหว่นี้ไม่ใช่ลำดับแรกของการโจมตีซึ่งแฮ็กเกอร์ต้องเข้าถึงเครื่องเหยื่อให้ได้ก่อนถึงจะใช้งานช่องโหว่นี้ได้

ที่มา : https://www.zdnet.com/article/apple-still-has-problems-with-stopping-synthetic-clicks/ และ https://www.securityweek.com/hackers-can-bypass-macos-security-features-synthetic-clicks

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Darktrace พบเกตเวย์ AI เชื่อม Amazon Bedrock ถูกแฮ็กไปขุดคริปโต

นักวิจัยจากบริษัทด้านความมั่นคงปลอดภัยไซเบอร์ Darktrace ซึ่งมีฐานอยู่ในสหราชอาณาจักร ได้เผยรายละเอียดเกี่ยวกับการบุกรุกระบบคลาวด์ โดยพบว่าเกตเวย์ปัญญาประดิษฐ์ที่เชื่อมต่อกับบริการ Amazon Bedrock ของ Amazon Web Services ถูกแฮ็กเพื่อนำไปใช้ขุดคริปโทเคอร์เรนซี

Microsoft ยกระดับการจัดการช่องโหว่บน Windows รับมือยุคที่ AI เร่งการค้นพบช่องโหว่

Microsoft เผยแนวทางปรับปรุงการจัดการช่องโหว่บน Windows ให้ทันกับยุคที่ AI ทำให้การค้นพบช่องโหว่เกิดขึ้นเร็วขึ้นและครอบคลุมโค้ดจำนวนมากขึ้น ทั้งฝั่งผู้ป้องกันและผู้โจมตี