Microsoft พบบัคใน macOS ที่ทำให้มัลแวร์สามารถ bypass การตรวจสอบความปลอดภัยได้

Apple ได้ทำการแก้ไขช่องโหว่ที่เปิดโอกาศให้ผู้โจมตีสามารถใช้ช่องโหว่ในการปล่อยมัลแวร์บนอุปกรณ์ผ่านทางแอพพลิเคชั่นที่ไม่น่าเชื่อถือ ทำให้สามารถ bypass ตัว Gatekeeper ไปได้ บนอุปกรณ์ที่ใช้ macOS ช่องโหว่ดังกล่าวถูกพบโดยนักวิจัยของ Microsoft ชื่อ Jonathan Bar Or และตั้งชื่อช่องโหว่ว่า “Achilles” ติดตามในเลข CVE-2022-42821 ซึ่งในปัจจุบันทาง Apple ได้ทำการแก้ไขแล้วใน macOS13 (Ventura), macOS (Monterey), macOS (Big Sur) เมื่อสัปดาห์ที่แล้ววันที่ 13 ธันวาคม Gatekeeper เป็นฟีเจอร์ด้านความปลอดภัยของ macOS ที่จะทำการตรวจสอบแอพทุกตัวที่โหลดมาจากอินเตอร์เน็ต ถ้าตัวฟีเจอร์ตรวจพบว่ามีการรับรองและลงนามโดยนักพัฒนาซอฟต์แวร์ (อนุมัติโดย Apple) Gatekeeper จะถามผู้ใช้งานว่าจะให้เปิดการทำงาน หรือจะบอกว่าเป็นแอพที่ไม่น่าเชื่อถือก็ได้

การที่ Gatekeeper สามารถทำแบบนี้ได้เพราะจะมีการตรวจสอบค่าๆ หนึ่งใน com.apple.quarantine ผ่านทางเว็บบราวเซอร์ในการตรวจสอบไฟล์ที่ถูกโหลดมาทุกไฟล์ คล้ายๆ การทำงานของ Mark of the Web ของ Windows ช่องโหว่ Archilles เปิดโอกาสให้ผู้โจมตีสร้าง payload เฉพาะที่ใช้ในการ abuse ตัว logic ที่มีปัญหาของ Access Control List (ACL) ที่ไปปิดกั้นบราวเซอร์ และตัวดาวน์โหลดจากการตั้งค่า com.apple.quarantine ของตัวดาวน์โหลด ส่งผลให้แอพที่เป็นอันตรายสามารถทำงานบนอุปกรณ์ของเหยื่อได้ แทนที่จะถูก block โดย Gatekeeperช่องโหว่นี้เป็นหนึ่งในช่องโหว่ bypass ของ Gatekeeper ที่เจอมาหลายครั้งในปีนี้ ซึ่งหลายช่องโหว่ถูกใช้ในวงกว้างโดยผู้โจมตีเพื่อหลีกเลี่ยงกลไกการรักษาความปลอดภัยของ macOS เช่น Gatekeeper, File Quarantine และ System Integrity Protection (SIP) บน Mac ที่เป็นแพทช์ล่าสุด ยกตัวอย่างเช่น Bar Or เคยรายงานเรื่องช่องโหว่ที่ชื่อ Shrootless ในปี 2021 ที่ทำให้ผู้โจมตีสามารถ bypass ตัว System Integrity Protection (SIP) เพื่อดำเนินการตามอำเภอใจบน Mac ที่ถูกโจมตี รวมถึงยกระดับสิทธิ์ให้กับรูท หรือแม้แต่ติดตั้งรูทคิทบนอุปกรณ์ที่มีช่องโหว่ได้ด้วย