Dropbox offentliggjorde för två veckor sedan att flera zero-day sårbarheter har hittats av IT-säkerhetsföretaget Syndis, ett tredje-parts partnerbolag. Sårbarheterna påverkar inte bara datorerna hos Dropbox, utan även alla användare av macOS och Safari. Syndis visade att, genom att kedja ihop de tre funna sårbarheterna, kunde full kontrol av ett macOS-system fås – Bara utifrån ett besök hos en skadlig länk. Sårbarheterna har numer blivit patchade av Apple.

 

Red-team övning avslöjade zero-day sårbarheter

Den 16:e november släpptes en rapport av Dropbox vilken offentliggjorde upptäckter av IT-säkerhetsföretaget Syndis. Tre (då) zero-day sårbarheter hittades vid en så kallad red team övning, vilket är en simulering av ett riktigt attackscenario som ofta pågår under en längre tid. De tre sårbarheterna påverkade macOS och Safari. Genom att kedja samman exploits som utnyttjade alla sårbarheter kunde även Syndis visa att en Apple macOS-dator kunde tas över fullständigt – Endast genom att besöka en skadlig länk. Följande video visar en Proof-of-Concept av processen.

Själva sårbarheterna beskrivs i rapporten som följande:

  • CVE-2017-13890
    Denna sårbarhet låter webläsaren Safari automatiskt ladda ner och montera en diskavbildning genom en skadlig websida.
  • CVE-2018-4176
    Denna sårbarhet låter en hackare köra en applikation från en diskavbildning genom volymverktyget bless.
  • CVE-2018-4175
    Slutligen, denna sårbarhet låter ett skadligt program gå förbi macOS Gatekeeper anti-malware och dess signeringsinspektion.

 

Sammankedjning av sårbarheter

I rapporten beskrivs processen för sammankedjningen av sårbarheterna.

“Syndis was able to chain these together in a two-stage exploit to achieve arbitrary code execution for a user who visits a specially crafted web page with Safari. The first stage includes a modified version of the Terminal app, which is registered as a handler for a new file extension (.workingpoc). In addition it would contain a blank folder called “test.bundle” which would be set as the default “openfolder” which automatically would open /Applications/Terminal.app without prompt. The second stage includes an unsigned shellscript with the extension “.workingpoc” which is then executed within the running Terminal application without prompt.”

Apple gjordes medvetna om sårbarheterna den 19 februari. En patch släpptes bara en månad efter, vilket är mycket snabbare än industristandarden på 90 dagar.

Av Max Kardos, CYPRO.