Niebezpieczne luki w Apple Safari wykryte podczas testów Dropbox
Podczas testów bezpieczeństwa własnego systemu, przeprowadzanych przez firmę Dropbox, zespół natknął się na luki w przeglądarce Apple Safari. Cały łańcuch exploitów umożliwiał całkowite przejęcie komputera w prosty sposób. Szef ochrony Dropbox, Chris Evans, przedstawił sytuację na firmowym blogu. "Niedawno przeprowadziliśmy symulację ataku jako team red (drużyna atakująca) ale w środowiskach zewnętrznych. Testy penetracyjne doskonale sprawdzają się w wynajdowaniu nieznanych luk w zabezpieczeniach systemów i pokazują, jak w jaki sposób są one podatne na wykorzystanie. Jednak cele testera są zwykle ograniczone tylko do tego. A co z post-exploitation?" - pyta Evans.
Luki w zabezpieczeniach w oprogramowaniu Apple dotyczyły wszystkich użytkowników Safari, którzy używali najnowszej wersji w tym czasie
Jak sugeruje termin, post-exploitation oznacza fazy działania, gdy atakujący złamał już system ofiary. Podczas takich własnie testów Dropbox i sposobu, w jaki system przechowywania w chmurze zareagował na próby ataku, team red natknął się na szereg luk w oprogramowaniu Apple. W próbach, zespół atakujących był wspierany przez zewnętrzną firmę konsultingową Syndis. Firma, której celem było symulowanie naruszenia bezpieczeństwa, uświadomiła sobie, że nie musiała niczego symulować - Syndis natknął się na luki w oprogramowaniu Apple, które były niczym innym jak zestawem exploitów zero-day. Razem luki pozwoliły napastnikom na wgranie zainfekowanego kodu w systemie ofiary w najprostszy sposób - wystarczyło po prostu odwiedzić złośliwą stronę internetową. "Luki w zabezpieczeniach w oprogramowaniu Apple dotyczyły wszystkich użytkowników Safari, którzy używali najnowszej (10.13.4) wersji w tym czasie" - mówi dyrektor.
CloudMounter: obsługa Dropboxa, OneDrive i Google Drive
Pierwsza z nich, CVE-2017-13890, umożliwia atakującym używanie Safari w celu automatycznego pobierania i montowania obrazów dysków. Drugi błąd, CVE-2018-4176 uruchamiał bez zgody użytkownika aplikację z obrazu. Oczywiście system Gatekeeper powinien zezwalać na uruchamianie aplikacji podpisanych tylko przez zaufanych programistów. Tutaj pojawia się własnie ostatnia luka w łańcuchu exploitów, CVE-2018-4175. Może ona zostać wykorzystana do zarejestrowania nowych rozszerzeń plików i uruchomienia aplikacji, które są wtedy uważane za bezpieczne, bez angażowania Gatekeepera. Ustalenia zespołu zostały przekazane firmie Apple 19 lutego. Po miesiącu testowania i tworzenia poprawki, firma wdrożyła uaktualnienie 29 marca.