Обнаружен эксплоит для уязвимости в OS X

image

Теги: эксплоит, уязвимость, OS X

Эксперт обнаружил установщик рекламного ПО, эксплуатирующий брешь в платформе.

Исследователь компании Malwarebytes Адам Томас (Adam Thomas) сообщил о том, что злоумышленники используют эксплоит для раскрытой в прошлом месяце уязвимости в OS X 10.10 и более поздних версиях. Эксперт обнаружил его, когда ему попался новый установщик рекламного ПО.

В ходе тестирования рекламного ПО на машине под управлением OS X Томас обратил внимание на то, что файл sudoers (скрытый файл Unix, определяющий, кому предоставлять права суперпользователя в командной оболочке Unix) был модифицирован. В данном конкретном случае уязвимость позволила рекламному ПО получить права суперпользователя через Unix без обязательного ввода пароля администратора.

Эксплуатирующий уязвимость DYLD_PRINT_TO_FILE скрипт записывается в файл и выполняется, после чего часть его удаляется. Скрипт запускает приложение VSInstaller, которое исследователь обнаружил в скрытой директории образа диска установщика рекламного ПО. Получив права суперпользователя, программа могла загружать все что угодно.

Что касается VSInstaller, то данное приложение устанавливает рекламное ПО VSearch, вариант Genieo и MacKeeper. В итоге оно направляет пользователя на приложение Download Shuttle в Mac App Store.

По словам Томаса, это плохие новости для Apple, которая уже некоторое время была осведомлена о наличии уязвимости. Несмотря на то, что ИБ-эксперт Стефан Эссер (Stefan Esser) опубликовал подробности о бреши только в конце прошлого месяца, исследователь beist уведомил купертиновцев о проблеме несколькими месяцами ранее. Похоже, что Apple пока еще не решила этот вопрос.  

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.