Microsoft-Sicherheitsforscher haben einen macOS-Exploit entdeckt, der TCC-Berechtigungen ändern kann

Microsoft-Sicherheitsforscher haben einen macOS-Exploit entdeckt, der TCC-Berechtigungen ändern kann

Warum es wichtig ist: Microsoft hat am Montag öffentlich eine Schwachstelle in macOS bekannt gegeben, die verwendet werden könnte, um auf sensible Benutzerdaten zuzugreifen oder diese zu stehlen. Die Ausnutzung wird durch eine Lücke im TCC-Framework erleichtert. Die TCC-Plattform ist Teil von macOS, mit der Benutzer steuern können, welche Anwendungen auf die Daten, Dateien und Komponenten der Benutzer zugreifen können.

Das Microsoft 365 Defender-Forschungsteam bezeichnete die Sicherheitsanfälligkeit (CVE-2021-30970) nach einem Exploit des Microsoft-Forschers Jonathan Bar Or. Microsoft hat Cupertino im Juli 2021 über die Sicherheitslücke informiert, Apple hat den Fehler im Dezember mit macOS 11.6 und 12.1 behoben.

„Wir haben festgestellt, dass es möglich ist, das Home-Verzeichnis des Zielbenutzers programmgesteuert zu ändern und eine gefälschte TCC-Datenbank zu erstellen, die den Genehmigungsverlauf für Antragsanfragen speichert“, erklärten wir. Bei Ausnutzung auf ungepatchten Systemen könnte diese Sicherheitsanfälligkeit einem potenziell böswilligen Akteur ermöglichen, einen Angriff basierend auf geschützten persönlichen Benutzerdaten zu orchestrieren. „

Microsoft-Sicherheitsforscher haben eine Datei entdeckt

Screenshots zeigen, welche Software das Mikrofon und die Kamera gewährt oder darauf zugreift. TCC behält jedoch auch die Autorisierung für andere Komponenten, einschließlich Bildschirmaufzeichnung, Bluetooth, Ortungsdienste, Kontakte, Fotos und mehr.

Obwohl Microsoft die Software speziell für diese Aufgabe entwickelt hat, könnte jede Anwendung dieselbe Technologie verwenden, um die Lücke auszunutzen. Der Angreifer benötigt vollen Festplattenzugriff auf die TCC-Datenbank, der auf andere Weise gewährt werden kann. Einmal erworben, können Hacker die Zugriffsberechtigungen nach Belieben festlegen oder zurücksetzen.

Powerdir ist der dritte TCC-Bypass, der in den letzten zwei Jahren gefunden wurde. Die anderen beiden (CVE-2020-9934 und CVE-2020-27937) wurden im Jahr 2020 aufgedeckt und behoben. Ein weiterer Fehler (CVE-2021-30713), der letztes Jahr auf allen Apple-Betriebssystemen entdeckt wurde, ermöglichte es Angreifern, die Berechtigungen willkürlich zu kontrollieren ermöglichte es Hackern, es aktiv auszunutzen, bevor es im Mai gepatcht wurde.

HINTERLASSEN SIE EINE ANTWORT

Please enter your comment!
Please enter your name here