Adware gebruikt zero day-lek in Mac OS X
Een kwetsbaarheid in Mac OS X die vorige maand door een Duitse onderzoeker werd geopenbaard en nog niet door Apple is gepatcht wordt nu actief gebruikt door adware. Via de kwetsbaarheid kan een lokale aanvaller of applicatie zijn rechten op het systeem verhogen.
Anti-virusbedrijf Malwarebytes ontdekte onlangs een adware-installatieprogramma dat de kwetsbaarheid gebruikt om rootrechten op Mac-computers te krijgen. Naast het installeren van de VSearch adware installeert het installatieprogramma ook de Genieo adware en het zeer omstreden MacKeeper op computers. Als laatste stuurt het gebruikers door naar de Mac App Store om daar de Download Shuttle-app te downloaden. Waar de adware precies wordt aangeboden laat Malwarebytes niet weten, maar het bedrijf adviseert gebruikers om voorzichtig te zijn met wat ze downloaden.
Lees de originele posts toch even voor het rond krijgen van het plaatje
Oudste eerst
https://blog.malwarebytes.org/mac/2015/07/privilege-escalation-vulnerability-found-in-os-x/
(redactie ook getipt rond 25 juli maar niet door de nieuwsselectie heengekomen, jammer want een 0-day)
De nieuwe
https://blog.malwarebytes.org/mac/2015/08/dyld_print_to_file-exploit-found-in-the-wild/
(het zit in een adware installer van een of ander lullig programmaatje, dus kappen met die lullige programmaatjes van het net trekken en maar blind installeren)
En , hey, deze 0-day wel is ook hier wel aangekaart
https://www.security.nl/posting/437817/#posting437829
maar niet verder in de security discussie opgepikt hier omdat Mac OS X security discussies steeds minder kunnen op security.nl
Waarom?
Security.nl is sinds enige tijd kennelijk namelijk weer exclusief een Windows site (en een beetje Linux).
Apple gebruikers worden sinds een tijdje steeds minder getolereerd door een paar persistente Windows trollen die (helaas ook nog) werkelijk de ballen verstand hebben van Apple producten en elke serieuze discussie proberen te torpederen met van alles en nog wat.
Als er maar gestoord wordt.
Jammer, het ging jaren goed en beter met security kunnen bespreken zonder te belanden in onzinnige OS Flamewars.
Krijgen deze klieren de credits voor het gedram en gezeik? Stop ik met (o.a.) Mac OS X bijdragen geven?
Nee hoor, maar het is toch jammer want het is een security site om security te bespreken en onder de aandacht te brengen.
Mac Os X gebruikers wordt verweten geen serieuze interesse te hebben, hebben ze dat wel dan wordt het hen dat ook onmogelijk gemaakt.
Heel aparte gang van zaken, trollen is het natuurlijk niet om redelijkheid te doen.
Maar goed.
O, ja, het lek zit alleen in Mac OS X 10.10 Yosemite en niet in andere Mac OS X versies
(genoeg gebruikers die nog op Mavericks zitten etc.).
Ik heb op de 25e al de patch-pkg van die Esser uitelkaar zitten peuteren en zitten bekijken voorzover ik er wat wijs uit kon worden.
Het lijkt erop dat het doet wat het zegt te doen, maar ik ben geen programmeur die code echt kan beoordelen, dus ook ik moet ondanks een blik over de code-schutting maar op de kleur van de ogen van die onderzoeker vertrouwen.
En dat was dan weer een punt, want wat mij betreft komt hij niet in aanmerking voor de schoonheidsprijs, iets te veel sausje eigen belang bij het (verder) publiek maken van de exploit.
Afsluitend is een geluk bij een ongeluk nu dat het misbruikt wordt voor iets relatiefs onschuldigs, namelijk Adware.
Openbaar signaal helder voor Apple nu om hiervoor spoedig een patch uit te brengen.
Apple en patchen, het gaat steeds beter en sneller.
We wachten af.
Wordt het niet tijd om anoniem posten uit te zetten en enige vorm van post-moderatie in te voeren zoals bijv. op Tweakers.net, om de kwaliteit van posts/de site te verbeteren?
Ik zou dan verwachter dat als de wachtwoord controle overgeslagen wordt, je nog tegen het probleem aanloopt dat het account geen sudo rechten kan krijgen.
Het gepubliceerde lek is het onverwacht gebruik van een environt variabele welke het mogelijk maakt om een printproces draaiend onder root naar een willekeurig bestand tekst te schrijven. Sudo gaat dan gewoon dat doen wat in dat aangepaste config bestandje staat. Er zit veel meer in dat het bekende user naar root schakelen. In dit geval is het de omgekeerde weg als die bij de shell-shock, het principe is identiek.
Sudoers Zie: http://www.sudo.ws/man/1.8.14/sudoers.man.html
De security richtlijnen bij apple zijn geheel conform de -NIX aanpak https://www.apple.com/support/security/guides/
Als de oplossing met de laatste versie (El capitan) wordt SIP aangedragen. Het moet updates van systeemfiles isoleren tot de Apple update processen. https://en.wikipedia.org/wiki/System_Integrity_Protection Ik zie daar het zelfde terugkomen als met Selinux Confinement https://en.wikipedia.org/wiki/Security-Enhanced_Linux
Het te bereiken doel is dat ook root ingeperkt wordt samen met een uitvoerend proces.
Lijkt me een nobel doel. Altijd leuk en niet verrassend om te zien hoe groot de weerstand daartegen is. Kijk maar eens naar alle post’s met de vraag om dat te disabelen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
