image

Adware gebruikt zero day-lek in Mac OS X

dinsdag 4 augustus 2015, 10:36 door Redactie, 5 reacties

Een kwetsbaarheid in Mac OS X die vorige maand door een Duitse onderzoeker werd geopenbaard en nog niet door Apple is gepatcht wordt nu actief gebruikt door adware. Via de kwetsbaarheid kan een lokale aanvaller of applicatie zijn rechten op het systeem verhogen.

Anti-virusbedrijf Malwarebytes ontdekte onlangs een adware-installatieprogramma dat de kwetsbaarheid gebruikt om rootrechten op Mac-computers te krijgen. Naast het installeren van de VSearch adware installeert het installatieprogramma ook de Genieo adware en het zeer omstreden MacKeeper op computers. Als laatste stuurt het gebruikers door naar de Mac App Store om daar de Download Shuttle-app te downloaden. Waar de adware precies wordt aangeboden laat Malwarebytes niet weten, maar het bedrijf adviseert gebruikers om voorzichtig te zijn met wat ze downloaden.

Reacties (5)
04-08-2015, 11:50 door Anoniem
Yep,

Lees de originele posts toch even voor het rond krijgen van het plaatje

Oudste eerst
https://blog.malwarebytes.org/mac/2015/07/privilege-escalation-vulnerability-found-in-os-x/
(redactie ook getipt rond 25 juli maar niet door de nieuwsselectie heengekomen, jammer want een 0-day)

De nieuwe
https://blog.malwarebytes.org/mac/2015/08/dyld_print_to_file-exploit-found-in-the-wild/
(het zit in een adware installer van een of ander lullig programmaatje, dus kappen met die lullige programmaatjes van het net trekken en maar blind installeren)

En , hey, deze 0-day wel is ook hier wel aangekaart
https://www.security.nl/posting/437817/#posting437829
maar niet verder in de security discussie opgepikt hier omdat Mac OS X security discussies steeds minder kunnen op security.nl

Waarom?
Security.nl is sinds enige tijd kennelijk namelijk weer exclusief een Windows site (en een beetje Linux).
Apple gebruikers worden sinds een tijdje steeds minder getolereerd door een paar persistente Windows trollen die (helaas ook nog) werkelijk de ballen verstand hebben van Apple producten en elke serieuze discussie proberen te torpederen met van alles en nog wat.
Als er maar gestoord wordt.

Jammer, het ging jaren goed en beter met security kunnen bespreken zonder te belanden in onzinnige OS Flamewars.
Krijgen deze klieren de credits voor het gedram en gezeik? Stop ik met (o.a.) Mac OS X bijdragen geven?
Nee hoor, maar het is toch jammer want het is een security site om security te bespreken en onder de aandacht te brengen.

Mac Os X gebruikers wordt verweten geen serieuze interesse te hebben, hebben ze dat wel dan wordt het hen dat ook onmogelijk gemaakt.
Heel aparte gang van zaken, trollen is het natuurlijk niet om redelijkheid te doen.

Maar goed.
O, ja, het lek zit alleen in Mac OS X 10.10 Yosemite en niet in andere Mac OS X versies
(genoeg gebruikers die nog op Mavericks zitten etc.).

Ik heb op de 25e al de patch-pkg van die Esser uitelkaar zitten peuteren en zitten bekijken voorzover ik er wat wijs uit kon worden.
Het lijkt erop dat het doet wat het zegt te doen, maar ik ben geen programmeur die code echt kan beoordelen, dus ook ik moet ondanks een blik over de code-schutting maar op de kleur van de ogen van die onderzoeker vertrouwen.
En dat was dan weer een punt, want wat mij betreft komt hij niet in aanmerking voor de schoonheidsprijs, iets te veel sausje eigen belang bij het (verder) publiek maken van de exploit.

Afsluitend is een geluk bij een ongeluk nu dat het misbruikt wordt voor iets relatiefs onschuldigs, namelijk Adware.
Openbaar signaal helder voor Apple nu om hiervoor spoedig een patch uit te brengen.
Apple en patchen, het gaat steeds beter en sneller.
We wachten af.
04-08-2015, 12:53 door Pastafarist
@security.nl

Wordt het niet tijd om anoniem posten uit te zetten en enige vorm van post-moderatie in te voeren zoals bijv. op Tweakers.net, om de kwaliteit van posts/de site te verbeteren?
04-08-2015, 13:48 door Briolet
Mij is niet duidelijk of deze exploit ook bij een user-account werkt. Het sudo command zelf werkt normaal niet onder een user-account. Vanuit dit account krijg je steeds de terugmelding bij invullen van een goed user-wachtwoord:

user-xxx is not in the sudoers file. This incident will be reported.

Ik zou dan verwachter dat als de wachtwoord controle overgeslagen wordt, je nog tegen het probleem aanloopt dat het account geen sudo rechten kan krijgen.
04-08-2015, 20:49 door karma4
Briolet, Het is niet SUDO zelf dat aangevallen wordt met de er bij horende config-file. Deze config_files zijn her en der met alle specifieke onderdelen te vinden en bevatten in simple tekst ondere andere wie er bij kan. (standaard -nix werking).
Het gepubliceerde lek is het onverwacht gebruik van een environt variabele welke het mogelijk maakt om een printproces draaiend onder root naar een willekeurig bestand tekst te schrijven. Sudo gaat dan gewoon dat doen wat in dat aangepaste config bestandje staat. Er zit veel meer in dat het bekende user naar root schakelen. In dit geval is het de omgekeerde weg als die bij de shell-shock, het principe is identiek.

Sudoers Zie: http://www.sudo.ws/man/1.8.14/sudoers.man.html
De security richtlijnen bij apple zijn geheel conform de -NIX aanpak https://www.apple.com/support/security/guides/

Als de oplossing met de laatste versie (El capitan) wordt SIP aangedragen. Het moet updates van systeemfiles isoleren tot de Apple update processen. https://en.wikipedia.org/wiki/System_Integrity_Protection Ik zie daar het zelfde terugkomen als met Selinux Confinement https://en.wikipedia.org/wiki/Security-Enhanced_Linux

Het te bereiken doel is dat ook root ingeperkt wordt samen met een uitvoerend proces.
Lijkt me een nobel doel. Altijd leuk en niet verrassend om te zien hoe groot de weerstand daartegen is. Kijk maar eens naar alle post’s met de vraag om dat te disabelen.
05-08-2015, 21:04 door Anoniem
@Davide Anoniem posten uitzetten hoeft niet van mij, maar zowat alle sites met reageermogelijkheid die ik ken zouden erbij gebaat zijn om het op relevantie gebaseerde reactiebeoordelingssysteem van Tweakers te jatten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.