Adware gebruikt zero day-lek in Mac OS X
Een kwetsbaarheid in Mac OS X die vorige maand door een Duitse onderzoeker werd geopenbaard en nog niet door Apple is gepatcht wordt nu actief gebruikt door adware. Via de kwetsbaarheid kan een lokale aanvaller of applicatie zijn rechten op het systeem verhogen.
Anti-virusbedrijf Malwarebytes ontdekte onlangs een adware-installatieprogramma dat de kwetsbaarheid gebruikt om rootrechten op Mac-computers te krijgen. Naast het installeren van de VSearch adware installeert het installatieprogramma ook de Genieo adware en het zeer omstreden MacKeeper op computers. Als laatste stuurt het gebruikers door naar de Mac App Store om daar de Download Shuttle-app te downloaden. Waar de adware precies wordt aangeboden laat Malwarebytes niet weten, maar het bedrijf adviseert gebruikers om voorzichtig te zijn met wat ze downloaden.
Lees de originele posts toch even voor het rond krijgen van het plaatje
Oudste eerst
https://blog.malwarebytes.org/mac/2015/07/privilege-escalation-vulnerability-found-in-os-x/
(redactie ook getipt rond 25 juli maar niet door de nieuwsselectie heengekomen, jammer want een 0-day)
De nieuwe
https://blog.malwarebytes.org/mac/2015/08/dyld_print_to_file-exploit-found-in-the-wild/
(het zit in een adware installer van een of ander lullig programmaatje, dus kappen met die lullige programmaatjes van het net trekken en maar blind installeren)
En , hey, deze 0-day wel is ook hier wel aangekaart
https://www.security.nl/posting/437817/#posting437829
maar niet verder in de security discussie opgepikt hier omdat Mac OS X security discussies steeds minder kunnen op security.nl
Waarom?
Security.nl is sinds enige tijd kennelijk namelijk weer exclusief een Windows site (en een beetje Linux).
Apple gebruikers worden sinds een tijdje steeds minder getolereerd door een paar persistente Windows trollen die (helaas ook nog) werkelijk de ballen verstand hebben van Apple producten en elke serieuze discussie proberen te torpederen met van alles en nog wat.
Als er maar gestoord wordt.
Jammer, het ging jaren goed en beter met security kunnen bespreken zonder te belanden in onzinnige OS Flamewars.
Krijgen deze klieren de credits voor het gedram en gezeik? Stop ik met (o.a.) Mac OS X bijdragen geven?
Nee hoor, maar het is toch jammer want het is een security site om security te bespreken en onder de aandacht te brengen.
Mac Os X gebruikers wordt verweten geen serieuze interesse te hebben, hebben ze dat wel dan wordt het hen dat ook onmogelijk gemaakt.
Heel aparte gang van zaken, trollen is het natuurlijk niet om redelijkheid te doen.
Maar goed.
O, ja, het lek zit alleen in Mac OS X 10.10 Yosemite en niet in andere Mac OS X versies
(genoeg gebruikers die nog op Mavericks zitten etc.).
Ik heb op de 25e al de patch-pkg van die Esser uitelkaar zitten peuteren en zitten bekijken voorzover ik er wat wijs uit kon worden.
Het lijkt erop dat het doet wat het zegt te doen, maar ik ben geen programmeur die code echt kan beoordelen, dus ook ik moet ondanks een blik over de code-schutting maar op de kleur van de ogen van die onderzoeker vertrouwen.
En dat was dan weer een punt, want wat mij betreft komt hij niet in aanmerking voor de schoonheidsprijs, iets te veel sausje eigen belang bij het (verder) publiek maken van de exploit.
Afsluitend is een geluk bij een ongeluk nu dat het misbruikt wordt voor iets relatiefs onschuldigs, namelijk Adware.
Openbaar signaal helder voor Apple nu om hiervoor spoedig een patch uit te brengen.
Apple en patchen, het gaat steeds beter en sneller.
We wachten af.
Wordt het niet tijd om anoniem posten uit te zetten en enige vorm van post-moderatie in te voeren zoals bijv. op Tweakers.net, om de kwaliteit van posts/de site te verbeteren?
Ik zou dan verwachter dat als de wachtwoord controle overgeslagen wordt, je nog tegen het probleem aanloopt dat het account geen sudo rechten kan krijgen.
Het gepubliceerde lek is het onverwacht gebruik van een environt variabele welke het mogelijk maakt om een printproces draaiend onder root naar een willekeurig bestand tekst te schrijven. Sudo gaat dan gewoon dat doen wat in dat aangepaste config bestandje staat. Er zit veel meer in dat het bekende user naar root schakelen. In dit geval is het de omgekeerde weg als die bij de shell-shock, het principe is identiek.
Sudoers Zie: http://www.sudo.ws/man/1.8.14/sudoers.man.html
De security richtlijnen bij apple zijn geheel conform de -NIX aanpak https://www.apple.com/support/security/guides/
Als de oplossing met de laatste versie (El capitan) wordt SIP aangedragen. Het moet updates van systeemfiles isoleren tot de Apple update processen. https://en.wikipedia.org/wiki/System_Integrity_Protection Ik zie daar het zelfde terugkomen als met Selinux Confinement https://en.wikipedia.org/wiki/Security-Enhanced_Linux
Het te bereiken doel is dat ook root ingeperkt wordt samen met een uitvoerend proces.
Lijkt me een nobel doel. Altijd leuk en niet verrassend om te zien hoe groot de weerstand daartegen is. Kijk maar eens naar alle post’s met de vraag om dat te disabelen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.