ПТ Райк Експерт Егор Філатов виявив критичну вразливість у ярликах, вбудованому додатку MacOS, який впорядковує управління пристроями шляхом автоматизації повторюваних дій користувача. Якщо успішно експлуатується, недолік безпеки може дозволити зловмиснику отримати повний контроль над пристроєм, включаючи можливість читати, редагувати та видаляти будь -які дані.
Якщо компрометований пристрій є ноутбуком, підключеним до корпоративної мережі, зловмисник також може проникнути в інфраструктуру внутрішньої компанії.
Вразливість, відстежена як BDU: 2025-02497 та оцінена 8,6 з 10 за шкалою CVSS 3,0, впливає на ярлики 7,0 (2607,1,3). Постачальник був повідомлений про загрозу відповідно до відповідальної політики розкриття інформації та вже випустив програмний патч.
Користувачам рекомендується оновити до MacOS Sequoia 15.5 або новішої версії. Якщо оновлення ОС наразі неможливо, позитивні технології рекомендують користувачам приділяти пильну увагу завантаженим ярликом, перш ніж запустити їх або уникати їх використання взагалі.
Додаток ярликів був введений з MacOS Monterey ще в 2021 році і був підтриманий у версіях MacOS Ventura, Sonoma та Sequoia протягом останніх чотирьох років.
За допомогою програми користувачі можуть створювати ярлики для автоматизації різних завдань, таких як запуск таймера, відтворення музики або перетворення тексту в аудіо. Користувачі також мають доступ до макросів[1] які забезпечують готові ярлики. Актор загрози може використовувати цю функціональність, завантажуючи заражені шаблони в бібліотеку. Щоб неоднозначність була використана, потерпілого було б достатньо ненавмисно запустити зловмисний макрос на своєму пристрої.
“Зловмисник міг використовувати цю вразливість, щоб націлити будь -який користувач ярликів” сказаний Егор Філатов, молодший дослідник безпеки мобільних додатків з позитивних технологій. “Перед відновленням вразливість дозволила зловмиснику обійти механізми безпеки MacOS та виконувати довільний код у системі жертви”.
За словами експерта, потенційні наслідки успішних нападів включають наступне:
- Крадіжка конфіденційних даних або видалення цінної інформації
- Виконання зловмисного програмного забезпечення
- Встановлення задніх років[2] спрямований на підтримку доступу до системи навіть після виправлення вразливості
- Викуп[3] інфекція
- Порушення бізнес -процесів організації (якщо корпоративний пристрій порушено)
Експерти з позитивних технологій вивчають продукти Apple вже більше десяти років. У 2018 році Максим Горахі та Марк Ермолов, шукаючи недоліки безпеки в Engine Intel Management, виявили вразливість прошивки (CVE-2018-4251), що впливає на персональні комп’ютери, виготовлені Apple та іншими виробниками.
У 2017 році Тімур Юнусов попередив громаду про декілька прогалин у безпеці, які він виявив у Apple Pay: використовуючи вразливості, зловмисники можуть поставити під загрозу банківські картки користувачів та здійснювати несанкціоновані платежі за зовнішніми ресурсами.
До цього ще один дослідник позитивних технологій виявив та допоміг усунути критичну вразливість на веб -сайті Apple.com, що може дозволити противника провести атаку каталогу та отримати доступ до приватних даних.
Окрім версії MacOS ярликів, також є версія програми для мобільних пристроїв. Щоб запобігти загрозі проникнути в корпоративну мережу за допомогою вразливих мобільних додатків, компанії повинні захищати свої програми від зворотної інженерії. Це можна зробити з такими рішеннями, як PT Lable, який перетворює заявку на непроникний лабіринт, що робить атака занадто ресурсними для супротивників.
[1] Макрос-це заздалегідь запрограмована послідовність дій, визначених користувачем.
[2] Backdoor – це тип зловмисного програмного забезпечення, який дозволяє несанкціонований доступ до даних або забезпечує віддалене управління компрометованою системою. Зазвичай зловмисник встановлює задній частину на цільову систему для подальшого доступу.
[3] Ransomware – це тип зловмисного програмного забезпечення, який шифрує файли жертви або замикає їх з комп'ютерної системи, надаючи зловмисника контролювати будь -яку особисту інформацію, що зберігається на компрометованому пристрої. Потім зловмисник може вимагати викупу, погрожуючи залишити файли чи систему, недоступну для жертви або розкрити конфіденційні дані, якщо викуп не буде сплачений.
