De in macOS ingebouwde Background Task Management-tool die malware moet tegengaan, blijkt zijn functie niet zo goed uit te voeren. Dit presenteerde Mac-securityonderzoeker Patrick Wardle tijdens een Defcon-31 presentatie in Las Vegas.
Sinds eind 2022 heeft Apple in macOS Ventura de tool Background Task Management ingebouwd. Deze tool zoek specifiek naar ‘persistente’ malware. Wanneer deze wordt aangetroffen stuurt de tool naar eindgebruikers of naar security-tools van derde partijen een notificatie dat er een ‘persistent event’ plaatsvindt. Het is de bedoeling dat deze eindgebruikers of security-tools vervolgens onderzoeken wat er gaande is.
Diverse kwetsbaarheden in tool
Volgens de securityonderzoeker Patrick Wardle heeft het securitymechanisme echter verschillende kwetsbaarheden die het hackers mogelijk maakt de functionaliteit te omzeilen. Sinds de introductie ontdekte hij dat de implementatie van deze tool zo slecht is uitgevoerd, dat iedere ietwat ingewikkelde malware de detectie-functionaliteit makkelijk kan omzeilen.
Tijdens Defcon maakte de securityonderzoeker een aantal van deze diepere kwetsbaarheden openbaar. Onder meer liet hij een bypass zien toegang tot het hoogste beheeraccount nodig heeft om uitgevoerd te kunnen worden. Deze kwetsbaarheid is toch wel degelijk belangrijk om te patchen, omdat hackers die dit niveau van toegang verkrijgen in staat zijn de notificaties van Background Task Management in macOS uit te schakelen. Vervolgens kunnen zij zoveel malware als ze willen installeren, zonder dat het slachtoffer een notificatie ontvangt.
Uitzetten van notificaties
Verder ontdekte Wardle een tweetal kwetsbaarheden die uit te buiten zijn zonder privileges te hebben verkregen via het beheeraccount. De kwetsbaarheden maken het mogelijk om de persistence-notificaties in de tool uit te zetten. Eén van deze kwetsbaarheden misbruikt een bug die bepaalt hoe het alarmeringssysteem met de kernel van macOS communiceert.
De andere kwetsbaarheid betreft een functionaliteit die gebruikers, zelfs die zonder diepe privileges, in staat stelt detectieprocessen stop te zetten. Deze kwetsbaarheid kan worden gemanipuleerd zodat het voorkomt dat notificaties eindgebruikers bereiken.
Apple wordt opgeroepen de kwetsbaarheden zo snel mogelijk te patchen.
Lees ook: Hackers verblijven steeds langer ongezien in bedrijfsnetwerk
2 dagen geleden
