Syndis บริษัทด้านความปลอดภัยทางไซเบอร์ที่รับการว่าจ้างจาก Dropbox ให้ทำการทดสอบเจาะระบบบริษัท IT ต่างๆ ซึ่งรวมถึงซอฟต์แวร์ของ Apple ที่ใช้กับ Dropbox จากการทดลองระบบ Syndis พบว่าช่องโหว่ที่เกิดขึ้นนั้นไม่ได้ส่งผลกับ macOS เท่านั้น ยังส่งผลถึงผู้ใช้งานเว็บเบราว์เซอร์ Safari เวอร์ชั่นล่าสุดอีกด้วย สำหรับช่องโหว่ที่พบนั้นมี 3 ช่องโหว่บน Apple macOS แฮกเกอร์จะใช้ประโยชน์จากช่องโหว่นี้เข้าควบคุมเครื่อง Mac ของผู้ใช้ได้
ช่องโหว่ที่พบทั้ง 3 ได้แก่
- ช่องโหว่หมายเลข CVE-2017-13890 จะอยู่ในส่วนของ CoreTypes บนเครื่อง macOS ช่องโหว่นี้จะอนุญาตให้เบราเซอร์ Safari ดาวน์โหลดและ mount disk image บนเครื่องของเหยื่อเมื่อเข้าชมเว็บที่แฮกเกอร์สร้างขึ้นมาอัตโนมัติ
- ช่องโหว่หมายเลข CVE-2018-4176 ช่องโหว่นี้จะอยู่ในในส่วนของ Disk Images handled ที่ชื่อว่า .bundle ซึ่งเป็นแอปพลิเคชั่นที่ใช้สำหรับใช้เป็น directories แฮกเกอร์จะใช้ประโยชน์จากช่องโหว่นี้ทำการโจมตีโดยใช้แอปพลิเคชั่นที่สร้างขึ้นจาก mounted disk เพื่อทำการ bootable volume utility ที่เรียกว่า bless เพื่อเปิดโฟลเดอร์อาร์กิวเมนต์
- ช่องโหว่หมายเลข CVE-2018-4175 เป็นช่องโหว่ที่เกี่ยวกับการหลบหลีกตัวกรองมัลแวร์ gatekeeper ของเครื่อง macOS ช่องโหว่นี้จะอนุญาตให้แอปพลิเคชั่นที่แฮกเกอร์สร้างขึ้นข้ามผ่าน code signing enforcement จากนั้นจะทำการรันเปลี่ยนแปลงเวอร์ชั่นแอปพลิเคชั่น Terminal ทำให้แฮกเกอร์สามารถสั่งรันคำสั่งตามต้องการได้ ช่องโหว่ทั้ง 3 นี้ได้รับการพิสูจน์แล้วโดยนักวิจัย สามารถดูได้จากวิดีโอด้านล่างนี้
นักวิจัยได้อธิบายเกี่ยวกับขั้นตอนวิธีการโจมตีนี้ว่า การโจมตีมี 2 ขั้นตอนด้วยกันอาศัยใช้ช่องโหว่ทั้ง 3 เพื่อเข้าควบคุมเครื่อง Mac ผ่านเว็บไซต์ที่แฮกเกอร์สร้างขึ้น
ขั้นตอนแรกจะเป็นการเปลี่ยนแปลงเวอร์ชั่นแอปพลิเคชั่น Terminal ซึ่งได้รับการบันทึกชื่อ-นามสกุลไฟล์ใหม่เป็น .workingpoc จากนั้นทำการเพิ่มโฟลเดอร์เปล่าเข้าไปชื่อว่า “test.bundle” และตั้งค่าเริ่มต้นเป็น “openfolder” จากนั้นจะทำการเปิด /Applications/Terminal.app อัตโนมัติ
ขั้นตอนที่สองเป็นการ unsigned shellscript ด้วยไฟล์ .workingpoc ซึ่งจะทำการรันในแอปพลิเคชั่น Terminal อัตโนมัติ
Syndis ได้รายงานช่องโหว่นี้ให้กับทีมรักษาความปลอดภัยของ Apple ไปเมื่อเดือนกุมภาพันธ์ที่ผ่านมา และได้ทำการอัปเดตเพื่อแก้ไขปัญหาช่องโหว่นี้แล้วเมื่อวันที่ 29 มีนาคมที่ผ่านมา ดังนั้นผู้ใช้ควรทำการอัปเดตด่วน
ที่มา: The Hacker News