Угон DLL досаждает компьютерам под управлением Windows еще с 2000 года, он позволяет хакерам закрепиться на уязвимой машине или удаленно использовать уязвимое приложение. А теперь эта проблема перекочевала и на платформу Mac OS X.

На этой неделе на конференции CanSecWest глава исследовательского отдела Synack Патрик Вордл (Patrick Wardle) должен сделать доклад о различных абьюзах DLL на OS X, приводящих к тем же последствиям, что и в Windows: постоянному доступу к системе, инъекциям в процессы, обходу защитных средств (в данном случае Apple Gatekeeper), удаленной эксплуатации брешей.

«Подмена DLL — это далеко не новая проблема для Windows, ею пользовалось немалое количество зловредов. Это весьма распространенный способ атаки, — заявил Вордл в интервью Threatpost. — В какой-то момент я задался вопросом, есть ли что-то подобное в OS X, и обнаружил возможность аналогичной атаки. Чисто технически методики различны, но результат в итоге тот же. Если в OS X имеется уязвимое приложение, то его можно использовать так же, как и в случае с Windows».

После доклада Вордл должен представить исходный код программы-сканера, способной обнаружить уязвимые приложения. Запустив Python-скрипт на своей машине под управлением OS X, Вордл обнаружил 144 бинарных файла, уязвимых к разного рода атакам с перехватом DLL, в том числе Apple Xcode, плагины к iMovie и Quicktime, Microsoft Word, Excel и PowerPoint, а также сторонние приложения вроде Java, Dropbox, GPG Tools и плагинов Adobe.

«Windows уязвим к подмене DLL, а теперь мы знаем, что и OS X уязвим к перехвату dylib», — отметил Вордл.

Концепция перехвата DLL и dylib схожа: атакующий должен найти способ разместить вредоносную библиотеку в директории, загружаемой операционной системой. Вордл подробно разъяснил принцип своей атаки, в ходе которой он нашел уязвимый бинарник Apple в Photostream Agent, автоматически запускаемый вместе с iCloud.

«Для злоумышленника это отличный способ получить постоянное присутствие в системе, — отметил специалист. — Если скопировать специально созданный dylib в директорию, с которой работает PhotoStream, этот dylib будет загружен в контексте процесса. Это скрытный метод обеспечения присутствия в системе: вы не создаете новые процессы и не изменяете какие-либо файлы. Достаточно разместить один dylib, и дело сделано».

В ходе другой атаки Вордлу удалось добиться автоматического и стойкого исполнения кода путем инъекции в процесс Xcode, интегрированной среды разработки Apple.

«Мой зловред заражает Xcode, и каждый раз, когда среда разработки создает новый бинарный файл, в него добавляется вредоносный код, — поясняет эксперт. — Это полностью анонимный вектор распространения».

Вордл также смог удаленно обойти защитный продукт Apple Gatekeeper, ограничивающий загрузку ПО на машину а также выполняющий функции антивируса. По словам специалиста, Gatekeeper должен был бы блокировать загрузку с вредоносным dylib в отсутствие подписи Apple App Store. Тем не менее такую загрузку можно произвести удаленно, что дает атакующему возможность исполнения кода.

«Gatekeeper обычно хорошо справляется с блокировкой подобных загрузок, но с использованием этого способа обхода можно создать ситуации, когда пользователи сами заразят свою систему», — утверждает эксперт.

Вордл также должен продемонстрировать атаку, совмещающую все эти компоненты, в том числе обход Gatekeeper, за которым следует подмена dylib для получения постоянного присутствия, а затем похищение данных пользователя и вывод их на iCloud (как альтернатива — передача на уязвимую машину дистанционных команд). Эксперта тревожит тот факт, что его зловред не был обнаружен большинством антивирусных программ, при этом Apple продолжает игнорировать его отчеты, которые Вордл шлет с января. Единственной реакцией был одиночный автоответ и поздравление по поводу включения его доклада в программу CanSecWest.

«Должен признать, все очень печально. Это вопиющее злоупотребление функционалом OS X, а патча все нет, — подытожил Вордл. — Такие атаки весьма эффективны, а главное — скрытны, и с их помощью можно совершать множество злонамеренных действий».

Категории: Главное, Уязвимости