Антивирусные движки этот эксплойт не видят. Некорректная обработка файлов в macOS угрожает системе запуском удалённых команд и, как следствие, вредоносного кода. Apple попыталась исправить проблему, но с первого раза не преуспела.
Осторожно, inetloc
В операционной системе macOS обнаружилась серьёзная уязвимость, позволяющая запускать произвольные команды на компьютерах Mac. В том числе, под управлением последней версии macOS - Big Sur.
Как выяснил независимый эксперт по информационной безопасности Пак Минь-Чань (Park Minchan), проблема заключается в том, как программа Finder (аналог «Проводника» в Windows) обрабатывает файлы адресации inetloc - или Internet location files (файлы, указывающие на расположение в интернете). Эти файлы служат в качестве системных закладок для открытия онлайн-ресурсов (news://, ftp://, afp://) и локальных файлов (file://).
Уязвимость позволяет использовать эти файлы для запуска произвольных команд. Злоумышленники могут встраивать такие файлы в почтовые сообщения, так что при нажатии на них жертвы фактически дают разрешение на запуск встроенных команд. Никаких предупреждений об этом жертва от системы не получает. Уязвимость затрагивает все поддерживаемые на данный момент версии macOS.
Первая попытка
Apple попыталась исправить ошибку, не присваивая индекс CVE. Однако, как вскоре выяснил Минь-Чань, проблема была исправлена только частично. Префикс file:// был заблокирован в системе, однако только в том случае, если все буквы прописаны нижним регистром. Если префикс выглядит иначе - File, FiLe или fiLe - исправление не срабатывает. Исследователи компании SSD Secure Disclosure уведомили об этом Apple, но компания до сих пор не отреагировала на их сообщение.
Некорректная обработка файлов в macOS угрожает системе запуском удалённых команд
Эксперты издания Bleeping Computer проверили экспериментальный эксплойт, разработанный Минь-Чанем, и удостоверились в его работоспособности. Жертве достаточно нажать на ссылку, ведущую на специально подготовленный inetloc-файл, и встроенная в него команда запустится без каких-либо предупреждений.
Ни один из антивирусных движков на VirusTotal на данный момент не отреагировал на этот эксплойт.
«Это означает, что у киберзлоумышленников сейчас открылось широкое окно возможностей для эксплуатации данной уязвимости, - указывает Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. - Ни сама Apple, ни антивирусные платформы пока не сделали ничего для защиты пользователей, однако есть надежда, что это изменится в самое ближайшее время. Уязвимость выглядит слишком серьёзной, а эксплуатация - простой, чтобы игнорировать проблему».
На данный момент Apple тестирует седьмую бета-версию нового поколения macOS - Monterey, дебют которой намечен на эту осень. Пока неизвестно, содержатся ли в ней окончательные исправления для выявленной проблемы.