นักวิจัยพบช่องโหว่ Bypass การป้องกันของ macOS 

4 มิ.ย.62 (16:10 น.)
เปิดอ่าน 185 ครั้ง
Patrick Wardle ผู้ก่อตั้งและหัวหน้าทีมวิจัยจาก Digita Security บริษัทเชี่ยวชาญด้านความมั่นคงปลอดภัยของ macOS ได้เปิดเผยถึงการค้นพบช่องโหว่ใหม่ที่ทำให้ผู้โจมตีสามารถลัดผ่านการป้องกันเพื่อเข้าใช้งานฟีเจอร์ Synthetic Event ได้

credit : Apple.com

Synthetic Event เป็นกลไกที่เปิดให้แอปพลิเคชันสร้างคลิกเมาส์หรือกดคีย์บอร์ดได้อย่างอัตโนมัติผ่านทางที่ใช้ได้ผ่านทาง Core Graphic Framework หรือ AppleScript ซึ่งแน่นอนว่ามีมัลแวร์ที่นำความสามารถนี้ไปใช้งานเช่น ลัดผ่านการป้องกันด้านความมั่นคงปลอดภัยของ Apple หรือ Third-party, ขโมยรายชื่อติดต่อ, ปรับแต่งค่า Preference ของ OS, เข้าถึง Webcam และ รันคำสั่งใน Terminal เป็นต้น ทั้งนี้ในปี 2018 ทาง Apple ได้ประกาศมาตรการป้องกันการเข้าถึง Synthetic Event แล้วแต่ดูเหมือนการป้องกันจะไม่ได้ผลเช่นนั้นเพราะนักวิจัยได้พบช่องโหว่ใหม่ที่ช่วยลัดผ่านการป้องกันข้างต้นให้เข้าถึง Synthetic Event ได้อีก

ไอเดียของช่องโหว่นั้นเกิดขึ้นกับระบบ Transparency Consent and Control (TCC) ที่คอยดูแลฐานข้อมูลสำหรับการตั้งค่าการควบคุมด้าน Privacy ซึ่งภายในประกอบด้วยการอนุญาตแอปพลิเคชันในการเข้าถึง โดยได้มีการทำ Whitelist รายชื่อแอปที่อนุญาตไว้ใน AllowApplicationsList.plist สำหรับอ้างอิงในการเข้าถึงฟังก์ชันจากแอปในเวอร์ชันต่างๆ ซึ่งนักวิจัยชี้ว่าการ Verify ทำได้ไม่ดีพอ ด้วยเหตุนี้เองเพียงแค่แฮ็กเกอร์เลือกแอปพลิเคชันที่ถูกอนุญาตมาแก้ไขก็จะสามารถเข้าถึง Synthetic Event ได้

โดยนักวิจัยกล่าวว่า “VLC เป็นหนึ่งในแอปพลิเคชันที่ได้รับการยกเว้น ซึ่งอันที่จริงแล้ว Apple มีเจตนาที่จะตรวจสอบแล้วว่าเป็นแอปพลิเคชันจริงและไม่ได้ถูกแก้ไขด้วยการดูข้อมูล Code-signing อย่างไรก็ตามประเด็นคือการตรวจสอบยังไม่ดีพอเพราะพวกเขาตรวจเพียงว่าแอปถูก Sign แล้วจากคนที่พวกเขาคิดว่าน่าเชื่อถือแต่ไม่ได้ครอบคลุมไปถึง Executable และทรัพยากรในแอปพลิเคชัน ประเด็นคือเพียงแค่โหลด Plugin อันตรายของ VLC มาลงก็เข้าถึง Synthetic ได้นั่นเอง“–นักวิจัยกล่าว

อย่างไรก็ตามปัจจุบัน Wardle ได้แจ้งช่องโหว่แก่ Apple เรียบร้อยแล้วคาดว่าจะมีแพตช์ออกมาเร็ววันนี้แต่ไม่ต้องตกใจไปเพราะช่องโหว่นี้ไม่ใช่ลำดับแรกของการโจมตีซึ่งแฮ็กเกอร์ต้องเข้าถึงเครื่องเหยื่อให้ได้ก่อนถึงจะใช้งานช่องโหว่นี้ได้

ที่มา : https://www.zdnet.com/article/apple-still-has-problems-with-stopping-synthetic-clicks/ และ https://www.securityweek.com/hackers-can-bypass-macos-security-features-synthetic-clicks 
https://www.techtalkthai.com/macos-bypassed-security-mechanism-to-access-synthetic-event/

Cyber Domain - Royal Thai Air Force

ล่าสุด

ระวังมัลแวร์ Emotet ขโมยรหัสธนาคารออนไลน์ แพร่กระจายผ่าน Wi-Fi
17 ก.พ.63(เมื่อวาน) อ่าน 31 ครั้ง
Microsoft เตือนผู้ดูแล Exchange เร่งปิด SMBv1 ป้องกันมัลแวร์
14 ก.พ.63(5 วัน) อ่าน 33 ครั้ง
สหรัฐฯ เข้าจับแฮ็กเกอร์ชาวจีนกรณีแฮ็ก Equifax
11 ก.พ.63(7 วัน) อ่าน 20 ครั้ง
พบช่องโหว่ WhatsApp สามารถใช้เข้าถึงไฟล์ของระบบได้
8 ก.พ.63(11 วัน) อ่าน 15 ครั้ง
พบ Backdoor ในชิป HiSilicon คาดอุปกรณ์ DVR/NVR จำนวนมากตกอยู่ในความเสี่ยง
8 ก.พ.63(11 วัน) อ่าน 11 ครั้ง
วิธีการป้องกันภัยจากฟิชชิ่ง (Phishing)
6 ก.พ.63(12 วัน) อ่าน 62 ครั้ง
ประกาศบัญชีรายชื่อผู้ผ่านการเลือกสรรพนักงานราชการทั่วไป
5 ก.พ.63(13 วัน) อ่าน 139 ครั้ง
บริษัทความปลอดภัยไซเบอร์ตรวจสอบระบบไอทีสนามบิน 100 แห่ง มีเพียง 3 แห่งที่ผ่านมาตรฐาน
4 ก.พ.63(14 วัน) อ่าน 15 ครั้ง
ทวิตเตอร์พบคนร้ายใช้ API จับคู่เบอร์โทรศัพท์กับชื่อบัญชี
4 ก.พ.63(14 วัน) อ่าน 7 ครั้ง
พบช่องโหว่บน Microsoft Azure Stack เสี่ยงถูกแฮ็กเกอร์เข้าควบคุม Cloud Servers บนนั้นได้
4 ก.พ.63(14 วัน) อ่าน 7 ครั้ง
ระวังภัย พบมัลแวร์แพร่กระจายผ่านอีเมลโดยอ้างชื่อไวรัสโคโรน่า
3 ก.พ.63(15 วัน) อ่าน 13 ครั้ง
พบช่องโหว่บน Plugin Code Snippets บน WordPress แนะผู้ใช้ควรอัปเดต
30 ม.ค.63(19 วัน) อ่าน 13 ครั้ง
เผยกลเม็ด Phishing ใหม่ของคนร้ายกับบริการ Citibank
30 ม.ค.63(19 วัน) อ่าน 21 ครั้ง
เตือน! พบบั๊กทำ Windows 10 บูตไม่ขึ้นใน KB4528760
30 ม.ค.63(19 วัน) อ่าน 17 ครั้ง
Microsoft ออกเตือนช่องโหว่ Zero-day บน Internet Explorer ที่ถูกใช้โจมตีแล้ว
28 ม.ค.63(21 วัน) อ่าน 33 ครั้ง