Apple запатчила критическую уязвимость в macOS, которую эксплуатируют хакеры

Баг позволял злоумышленникам получить контроль над целевым устройством с помощью специального вредоноса в обход средств безопасности macOS, таких как Gatekeeper, функции карантина и требований к подписи приложений. Все эти инструменты должны блокировать доступ к пользовательским документам для скачанного из интернета ПО, которое не подписано авторизованными разработчиками и не прошло проверку Apple.

ИБ-специалист Патрик Уордл назвал баг, который проанализировал в своём блоге, едва ли не самым опасным в операционной системе за последнее время. Ничего не подозревающему пользователю достаточно сделать двойной щелчок по зловредному файлу — macOS не воспрепятствует запуску и не выдаст никакого оповещения.

Джаром Брэдли из компании Jamf Protect отметил, что по крайней мере одна хакерская группировка использовала его в течение нескольких месяцев. Программа, которую он обнаружил совместно с Уордлом, представляет собой вариант рекламного трояна Shlayer. Предположительно, его разработчики нашли ранее не известную уязвимость и модифицировали его, чтобы он мог устанавливаться без разрешения пользователя. Первая версия Shlayer, использующая брешь, датируется 9 января 2021 года.

Уязвимость выявил исследователь безопасности Седрик Оуэнс, 25 марта он связался по этому поводу с Apple. Компания исправила проблему в последнем апдейте macOS Big Sur 11.3 и добавила новые правила в антивирусное приложение XProtect, которое теперь распознаёт программы, пытающиеся эксплуатировать баг. Обновление устанавливается автоматически в фоновом режиме, благодаря чему под защитой все устройства с macOS, в том числе с более старыми версиями системы на борту.