Microsoft-onderzoekers waarschuwen voor achilleshiel in macOS Gatekeeper

Beveiligingsonderzoekers van Microsoft hebben een fout in macOS gevonden, waardoor malafide apps alsnog langs beveiligingssoftware Gatekeeper komen. De Lockdown-modus van Apple beschermt ook niet tegen deze dreiging.

Eveline MeijerRedacteurMeer van deze auteur

Mac — © Pixabay CC0 Public Domain

Pixabay CC0 Public Domain

Gatekeeper is een stuk software dat ervoor zorgt dat alleen "vertrouwde apps" op Mac-apparaten draaien. Het gaat dan om apps die ondertekend zijn door een autoriteit en goedgekeurd zijn door Apple. Is een app dat niet, dan wordt deze automatisch door Gatekeeper geblokkeerd. Gebruikers kunnen er wel voor kiezen om een app alsnog te installeren, mochten ze het risico willen nemen.

Maar Gatekeeper blijkt een kwetsbaarheid te bevatten, waardoor ook malafide apps langs die controle komen, zo waarschuwen onderzoekers van Microsoft. Het gaat om CVE-2022-42821, of - zoals de onderzoekers het noemen - Achilles, schrijft D ark Reading. In een video demonstreren de onderzoekers hoe een proof of concept langs Gatekeeper weten te komen aan de hand van de fout.

Quarantaine omzeild

Om dit te bereiken, misbruiken onderzoekers speciale regels via het ACL-mechanisme. Als een app namelijk gedownload wordt, heeft Apple daar een speciaal quarantaine-mechanisme voor. Een browser voegt na het downloaden van de app zelf een speciaal uitgebreid attribuut toe aan het gedownloade bestand: 'com.apple.quarantine'. Apple gebruikt dat attribuut om Gatekeeper een seintje te geven dat een app gecheckt moet worden, voor deze geïnstalleerd kan worden.

Maar er is ook een optie in macOS om een attribuut genaamd 'com.apple.acl.text' toe te voegen, waarmee eigen ACL's ingesteld kunnen worden. "Iedere ACL heeft één of meer Access Control Entries (ACE's) die dicteren wat ieder onderdeel wel of niet kan doen, net zoals firewall-regels", aldus de Microsoft-onderzoekers. "Met deze informatie besloten we om hele strenge ACL's toe te voegen aan de gedownloade bestanden. Die ACL's zorgen ervoor dat Safari (en ieder ander programma) geen nieuwe attributen toe kan voegen, waaronder het 'com.apple.quarantine'-attribuut."

Zonder dat attribuut krijgt Gatekeeper geen seintje dat het gedownloade bestand gecontroleerd moet worden, waardoor het hele beveiligingsmechanisme omzeild wordt. En volgens onderzoekers werkt de Lockdown-functie van Apple - die moet voorkomen dat doelwitten geïnfecteerd worden met spyware - ook niet tegen deze achilleshiel in macOS.

Patch is beschikbaar

De onderzoekers vonden het probleem afgelopen juli al en Apple heeft het probleem opgelost in de meest recente versie van macOS. Nu worden gebruikers nadrukkelijk opgeroepen om die laatste versie zo snel mogelijk te installeren.