Microsoft heeft details bekendgemaakt over een inmiddels gepatchte beveiligingsfout in het Transparency, Consent, and Control (TCC)-framework van Apple in macOS, dat waarschijnlijk wordt uitgebuit om de privacyvoorkeuren van een gebruiker te omzeilen en toegang te krijgen tot gegevens.
De tekortkoming, met de codenaam HM Surf van de technologiegigant, wordt gevolgd als CVE-2024-44133. Het probleem werd door Apple aangepakt als onderdeel van macOS Sequoia 15 door de kwetsbare code te verwijderen.
HM Surf “behelst het verwijderen van de TCC-beveiliging voor de Safari-browsermap en het wijzigen van een configuratiebestand in de genoemde map om toegang te krijgen tot de gegevens van de gebruiker, inclusief bezochte pagina’s, de camera, microfoon en locatie van het apparaat, zonder toestemming van de gebruiker”, zegt Jonathan zei Bar Or van het Microsoft Threat Intelligence-team.
Microsoft zei dat de nieuwe beveiliging beperkt is tot Apple’s Safari-browser, en dat het samenwerkt met andere grote browserleveranciers om de voordelen van het versterken van lokale configuratiebestanden verder te onderzoeken.
HM Surf volgt de ontdekking door Microsoft van Apple macOS-fouten zoals Shrootless, powerdir, Achilles en Migraine, waardoor kwaadwillende actoren de veiligheidshandhaving kunnen omzeilen.
Hoewel TCC een beveiligingsframework is dat verhindert dat apps toegang krijgen tot de persoonlijke informatie van gebruikers zonder hun toestemming, kan de nieuw ontdekte bug aanvallers in staat stellen deze vereiste te omzeilen en toegang te krijgen tot locatiediensten, adresboek, camera, microfoon, downloadmap en andere in een ongeoorloofde manier.
De toegang wordt bepaald door een reeks rechten, waarbij Apple’s eigen apps zoals Safari de mogelijkheid hebben om TCC volledig te omzeilen met behulp van het recht “com.apple.private.tcc.allow”.
Hoewel Safari hierdoor vrije toegang heeft tot gevoelige machtigingen, bevat het ook een nieuw beveiligingsmechanisme genaamd Hardened Runtime, dat het een uitdaging maakt om willekeurige code uit te voeren in de context van de webbrowser.
Dat gezegd hebbende, wanneer gebruikers voor de eerste keer een website bezoeken die locatie- of cameratoegang vraagt, vraagt Safari om toegang via een TCC-achtige pop-up. Deze rechten worden per website opgeslagen in verschillende bestanden in de map “~/Library/Safari”.
De door Microsoft bedachte HM Surf-exploit hangt af van het uitvoeren van de volgende stappen:
- Het wijzigen van de thuismap van de huidige gebruiker met het dscl-hulpprogramma, een stap waarvoor geen TCC-toegang vereist is in macOS Sonoma
- Het wijzigen van de gevoelige bestanden (bijvoorbeeld PerSitePreferences.db) binnen “~/Library/Safari” onder de echte thuismap van de gebruiker
- Als u de thuismap terugzet naar de oorspronkelijke map, gebruikt Safari de gewijzigde bestanden
- Start Safari om een webpagina te openen die een momentopname maakt via de camera van het apparaat en de locatie vastlegt
De aanval zou verder kunnen worden uitgebreid om een volledige camerastream op te slaan of heimelijk audio vast te leggen via de microfoon van de Mac, aldus Microsoft. Webbrowsers van derden hebben geen last van dit probleem, omdat ze niet dezelfde privérechten hebben als Apple-applicaties.
Microsoft merkte op dat het verdachte activiteit heeft waargenomen die verband houdt met een bekende macOS-adware-dreiging genaamd AdLoad die waarschijnlijk misbruik maakt van het beveiligingslek, waardoor het absoluut noodzakelijk is dat gebruikers stappen ondernemen om de nieuwste updates toe te passen.
“Aangezien we de genomen stappen die tot de activiteit hebben geleid niet hebben kunnen observeren, kunnen we niet volledig vaststellen of de AdLoad-campagne zelf misbruik maakt van de HM-surfkwetsbaarheid”, aldus Bar Or. “Aanvallers die een vergelijkbare methode gebruiken om een veel voorkomende dreiging in te zetten, vergroten het belang van bescherming tegen aanvallen met behulp van deze techniek.”
