Een onderzoeker met het alias Siguza heeft een kwetsbaarheid in macOS openbaar gemaakt waardoor een kwaadaardige applicatie of gebruiker het systeem volledig kan overnemen en waarvoor nog geen update beschikbaar is. Het beveiligingslek was echter al bekend bij Apple dat dacht het probleem te hebben gepatcht. De beveiligingsupdate was echter niet door Apple geverifieerd, aldus Siguza op Hacker News.
Daardoor is ook de meest recente versie van macOS kwetsbaar. Het beveiligingslek is aanwezig in IOHIDFamily, een kernelextensie die wordt gebruikt voor human interface devices (HID). Via de kwetsbaarheid kan een ongeprivilegieerde gebruiker code met kernelrechten uitvoeren. De onderzoeker maakte de kwetsbaarheid en bijbehorende exploit gisterenavond openbaar.
Er was kritiek op de werkwijze, aangezien Apple niet in staat zou zijn geweest om een update te ontwikkelen. Siguza laat weten dat hij de kwetsbaarheid bij het Zero Day Initiative (ZDI) van anti-virusbedrijf Trend Micro had aangemeld. Het ZDI betaalt onderzoekers voor het melden van onbekende kwetsbaarheden. Vervolgens informeert het ZDI de betreffende leverancier zodat er een update ontwikkeld kan worden.
De onderzoeker had de exploit en zijn beschrijving al klaarliggen met de intentie om het openbaar te maken. "Voornamelijk omdat ik meer van hacken dan van geld hou", zo stelt Siguza. Toch was hij benieuwd wat hij voor de kwetsbaarheid zou krijgen, waarop hij het ZDI benaderde. De aangeboden beloning was echter niet genoeg voor de onderzoeker om hem van gedachten te doen veranderen waarop hij tot publicatie overging.
Hij merkt op dat hij vanwege zijn liefde voor hacking zijn werk openbaar heeft gemaakt en Apple geen hak wil zetten. Om de kwetsbaarheid uit te buiten moet een aanvaller al code op het systeem kunnen uitvoeren. "Als je je zorgen maakt over mensen die dat kunnen, dan kunnen ze ook al zonder mij kernelrechten krijgen. Dus voor de doorsnee gebruiker verandert er niets", zo laat de onderzoeker verder weten. Om de aanval te laten werken wordt de gebruiker uitgelogd. Wanneer gebruikers onverwachts worden uitgelogd kan dit een teken zijn, merkt Siguza op. Tevens geeft hij gebruikers het advies om geen onbetrouwbare software uit te voeren.
Apple zou inmiddels met een update voor de kwetsbaarheid bezig zijn. Na de publicatie van zijn rapport nam een Apple-engineer contact met Siguza op en stelde dat Apple het probleem al had gevonden en er ook een patch voor het probleem was ontwikkeld. Deze update bleek de kwetsbaarheid echter niet te verhelpen. Verder liet de engineer weten dat het Apple-team de uitgebreide beschrijving van de onderzoeker waardeerde.
Siguza meldt op Hacker News dat de meest recente versie van macOS (10.13.2) nog steeds kwetsbaar is. Alleen de exploit van de onderzoeker werkt niet meer op deze versie "out of the box". Hij merkt echter op dat het mogelijk is om de exploit aan te passen zodat de aanval wel op macOS 10.13.2 kan worden uitgevoerd.
Deze posting is gelocked. Reageren is niet meer mogelijk.