Într-o postare pe blog, cercetătorii de la Jamf Threat Labs au anunțat că au detectat un bug în macOS Archive Utility, aplicația nativă de arhivare a macOS de la Apple, similară cu WinRAR și alte aplicații de arhivare. Din cauza vulnerabilității, hackerii ar fi putut să ocolească toate verificările de securitate, inclusiv Gatekeeper.
Experții au identificat eroare ca fiind CVE-2022-32910. Jamf Threat Labs a afirmat că aceasta se referă la modul în care macOS gestionează dezarhivarea fișierelor descărcate de pe internet, conform TechRadar.
Dacă un utilizator Mac descarcă o arhivă, aceasta va primi un atribut extins cu titlul com.apple.quarantine, semnalând sistemului de operare că a fost primită de la o locație la distanță și că trebuie analizată. Cu toate acestea, există cazuri când algoritmul Archive Utility va crea dosare suplimentare pentru a evita confuziile.
Cercetătorii au declarat că verificările de securitate putea fi ocolite cu ușurință.
“În ceea ce privește pachetele de aplicații, Gatekeeper verifică doar dacă directorul de aplicații are un atribut de carantină setat și nu ia în considerare fișierele recursive din cadrul pachetului de aplicații. Prin urmare, putem ocoli Gatekeeper asigurându-ne că folderul nostru care nu este în carantină este o aplicație”
Explicația oferită de Jamf Threat Labs
Vulnerabilitate poate fi exploatată în felul următor. Numele arhivei trebuie să includă o extensie .app și să existe cel puțin două fișiere sau foldere în rădăcina directorului țintă care este arhivat, deoarece acest lucru declanșează redenumirea automată a directorului temporar, și numai fișierele și folderele din cadrul aplicației trebuie să fie arhivate, cu excepția directorului test.app.
Compania Apple a fost informată cu privire la eroarea de securitate și a remediat-o în luna iulie. Utilizatorii sunt sfătuiți să își actualizeze macOS pentru a evita atacuri nedorite din partea hackerilor.
