Người dùng Macbook kêu gọi cập nhật hệ điều hành để sửa lỗi hàng loạt
Người dùng Apple Mac đang được khuyến khích cập nhật lên macOS Big Sur 11.3, được phát hành hôm nay, bản vá lỗ hổng bảo mật “cực kỳ xấu” có thể cho phép phần mềm độc hại vượt qua các lớp bảo vệ được tích hợp trong hệ điều hành. Lỗi được phát hiện bởi nhà nghiên cứu bảo mật Cedric Owens , người đã báo cáo nó cho Apple.
Trong một bài đăng trên blog kỹ thuật dài, nhà nghiên cứu bảo mật Patrick Wardle cho biết lỗi này “bỏ qua một cách đáng kể nhiều cơ chế bảo mật cốt lõi của Apple, khiến người dùng Mac gặp rủi ro nghiêm trọng” và “các tác giả phần mềm độc hại đã và đang khai thác nó một cách tự nhiên như một ngày không xa”.
Lỗi này được đưa ra tham chiếu CVE-2021-30657 thông thường về các lỗ hổng bảo mật (CVE) trong ghi chú bảo mật của Apple.
Gatekeeper đã được giới thiệu trong OSX Lion (10.7) như một lớp bảo vệ bổ sung khi người dùng tải xuống các tệp thực thi từ internet.
Đây là một trong ba biện pháp bảo vệ như vậy được tích hợp trong macOS, tất cả đều nhằm mục đích cảnh báo người dùng về các tệp được tải xuống từ internet và ngăn những kẻ viết phần mềm độc hại lừa người dùng lây nhiễm vào máy của họ.
Tuy nhiên, Wardle lưu ý, lỗi được phát hiện bởi Owens cho phép kẻ tấn công “bỏ qua tất cả những giảm nhẹ cơ bản này một cách nhẹ nhàng và đáng tin cậy” mà không tạo ra bất kỳ lời nhắc hệ thống nào cảnh báo người dùng có điều gì đó không ổn.
Một bằng chứng về khái niệm cho thấy một ứng dụng có thể được ngụy trang dưới dạng tài liệu và “được phép khởi chạy mà không cần nhắc nhở hay cảnh báo”.
“Kể từ năm 2007, Apple đã tìm cách bảo vệ người dùng khỏi việc vô tình lây nhiễm cho chính họ nếu họ bị lừa chạy mã độc như vậy. Đây là một điều tốt vì chắc chắn rằng người dùng có thể ngây thơ, nhưng ai cũng có thể mắc sai lầm”, Wardle viết.
Thật không may do lỗ hổng logic tinh vi trong macOS, các cơ chế bảo mật như vậy đã được chứng minh đầy đủ và tranh luận 100%, và như vậy về cơ bản chúng ta đã trở lại hình vuông.
“Chúng tôi đã bắt đầu với một ứng dụng bằng chứng khái niệm dựa trên tập lệnh, không có dấu, không có ghi chú, có thể vượt qua tất cả các cơ chế bảo mật liên quan của macOS (yêu cầu Kiểm dịch tệp, Người giữ và Công chứng)…ngay cả trên hệ thống macOS M1 đã được vá đầy đủ.
“Được trang bị khả năng như vậy, các tác giả phần mềm độc hại macOS có thể (và đang) quay trở lại các phương pháp nhắm mục tiêu và lây nhiễm cho người dùng macOS đã được chứng minh của họ”.
Công ty bảo mật Mac Jamf cho biết trong một bài đăng trên blog riêng biệt rằng họ đã xác định được phần mềm độc hại Shlayer đã khai thác lỗi này.
“Để làm cho tình hình khẩn cấp hơn, nhóm phát hiện Jamf Protect đã quan sát thấy cách khai thác này đang được sử dụng trong tự nhiên bởi một biến thể của ống nhỏ giọt phần mềm quảng cáo Shlayer”, nó cho biết.
Biến thể đã được đóng gói lại để sử dụng một định dạng cần thiết để thực hiện lỗ hổng vượt qua Gatekeeper. Nhóm phát hiện Jamf Protect đã xác định các mẫu bị phát hiện lạm dụng lỗ hổng này sớm nhất là vào ngày 9 tháng 1 năm 2021.
“Shlayer tiếp tục tự giới thiệu lại bằng những cách sáng tạo để lây nhiễm các hệ thống dựa trên macOS”.
Jamf nói rằng khi phần mềm độc hại khai thác lỗi được khởi chạy trên máy tính chạy Big Sur 11.3, “người dùng sẽ thấy một thông báo bật lên cho biết phần mềm ‘không thể mở được vì không xác định được nhà phát triển”.
“Vì ứng dụng độc hại không được công bố hoặc ký bằng chứng chỉ của nhà phát triển hợp lệ, thông báo sẽ nhắc người dùng loại bỏ DMG được gắn kèm có chứa gói ứng dụng”, nó nói thêm.
Owens ca ngợi phản ứng nhanh chóng của Apple trong việc vá lỗ hổng.
“Kudo cho Apple vì đã tung ra bản sửa lỗi trong Big Sur 11.3 beta 6 đúng nghĩa là 5 ngày sau khi tôi báo cáo với họ”, anh viết.
“Đội ngũ bảo mật sản phẩm tại Apple đã rất nhạy bén bất cứ khi nào tôi liên hệ với họ để yêu cầu. Tôi thực sự khuyến khích bạn cập nhật lên Big Sur 11.3 sớm nhất, vì bản sửa lỗi đã được áp dụng… để bây giờ Gatekeeper chặn đúng cách tải trọng này trên macOS 11.3”.
Duy Lâm
