Siber Muhbir

Teknoloji devi tarafından HM Surf kod adı verilen eksiklik, CVE-2024-44133 (CVSS puanı: 5.5) olarak izleniyor. Apple tarafından macOS Sequoia 15'in bir parçası olarak güvenlik açığı bulunan kod kaldırılarak ele alındı.

Microsoft Tehdit İstihbaratı ekibinden Jonathan Bar Or, HM Surf'ün "Safari tarayıcı dizini için TCC korumasının kaldırılmasını ve söz konusu dizindeki bir yapılandırma dosyasının, göz atılan sayfalar, cihazın kamerası, mikrofonu ve konumu dahil olmak üzere kullanıcının verilerine kullanıcının izni olmadan erişim sağlamak için değiştirilmesini içerdiğini söyledi.

Microsoft, yeni korumaların Apple'ın Safari tarayıcısıyla sınırlı olduğunu ve yerel yapılandırma dosyalarını sertleştirmenin faydalarını daha fazla araştırmak için diğer büyük tarayıcı satıcılarıyla birlikte çalıştığını söyledi.

HM Surf, Microsoft'un kötü niyetli aktörlerin güvenlik yaptırımlarından kaçınmasına olanak verebilecek Shrootless, powerdir, Achilles ve Migraine gibi Apple macOS kusurlarını keşfetmesini takip ediyor.

TCC, uygulamaların kullanıcıların kişisel bilgilerine rızaları olmadan erişmesini engelleyen bir güvenlik çerçevesi olsa da, yeni keşfedilen hata, saldırganların bu gereksinimi atlamasına ve konum hizmetlerine, adres defterine, kameraya, mikrofona, indirme dizinine ve diğerlerine yetkisiz bir şekilde erişmesini sağlayabilir.

Erişim, Apple'ın Safari gibi kendi uygulamalarının "com.apple.private.tcc.allow" yetkilendirmesini kullanarak TCC'yi tamamen devre dışı bırakma yeteneğine sahip olduğu bir dizi yetki tarafından yönetilir.

Bu, Safari'nin hassas izinlere özgürce erişmesine izin verirken, aynı zamanda web tarayıcısı bağlamında rastgele kod yürütmeyi zorlaştıran Güçlendirilmiş Çalışma Zamanı adlı yeni bir güvenlik mekanizması içerir.

Bununla birlikte, kullanıcılar konum veya kamera erişimi isteyen bir web sitesini ilk kez ziyaret ettiklerinde Safari, TCC benzeri bir açılır pencere aracılığıyla erişim ister. Bu yetkiler, "~/Library/Safari" dizininde bulunan çeşitli dosyalar içinde web sitesi bazında saklanır.

Microsoft tarafından tasarlanan HM Surf istismarı, aşağıdaki adımların gerçekleştirilmesine bağlıdır:

• macOS Sonoma'da TCC erişimi gerektirmeyen bir adım olan dscl yardımcı programı ile mevcut kullanıcının ana dizinini değiştirme
• Kullanıcının gerçek ana dizini altındaki "~/Library/Safari" içindeki hassas dosyaları (örn. PerSitePreferences.db) değiştirme
• Ana dizini orijinal dizine geri döndürmek, Safari'nin değiştirilen dosyaları kullanmasına neden oluyor
• Cihazın kamerası aracılığıyla anlık görüntü alan bir web sayfasını açmak ve konumu yakalamak için Safari'yi başlatma

Microsoft, saldırının tüm kamera akışını kaydetmek veya Mac'in mikrofonu aracılığıyla gizlice ses yakalamak için daha da genişletilebileceğini söyledi. Üçüncü taraf web tarayıcıları, Apple uygulamalarıyla aynı özel yetkilere sahip olmadıkları için bu sorundan muzdarip değildir.

Microsoft, AdLoad adlı bilinen bir macOS reklam yazılımı tehdidiyle ilişkili şüpheli etkinliğin muhtemelen güvenlik açığından yararlandığını ve kullanıcıların en son güncellemeleri uygulamak için adımlar atmasını zorunlu hale getirdiğini belirtti.

Bar Or, "Faaliyete yol açan adımları gözlemleyemediğimiz için, AdLoad kampanyasının HM sörf güvenlik açığından yararlanıp yararlanmadığını tam olarak belirleyemiyoruz" dedi. "Saldırganların yaygın bir tehdidi dağıtmak için benzer bir yöntem kullanması, bu tekniği kullanan saldırılara karşı korunmanın önemini artırıyor."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.