Kelemahan keamanan pada browser Safari di perangkat macOS mungkin membuat pengguna terkena mata-mata, pencurian data, dan bentuk malware lainnya.
Masalah ini disebabkan oleh izin khusus yang diberikan Apple pada aplikasi miliknya – dalam hal ini, browsernya – dan kemudahan penyerang untuk mengakses file konfigurasi aplikasi penting. Pada akhirnya, ini memungkinkan penyerang untuk melewatinya Transparansi, Persetujuan, dan Kontrol (TCC) lapisan keamanan yang digunakan MacBook untuk menjaga data sensitif. Entri CVE-nya, CVE-2024-44133, telah memperoleh peringkat tingkat keparahan “sedang” 5,5 dalam Common Vulnerability Scoring System (CVSS).
Peneliti dari Microsoft menamai eksploitasi mereka CVE-2024-44133 “HM Berselancar.” Dalam postingan blog baru, mereka menggambarkan bagaimana HM Surf dapat membuka pintu ke data penjelajahan pengguna, kamera, dan mikrofon, serta lokasi perangkat mereka, dan lain-lain. Dan ancaman tersebut tampaknya tidak hanya bersifat teoritis. : Sudah ada bukti yang tidak meyakinkan namun tidak signifikan yang menunjukkan bahwa satu program adware telah mengeksploitasi CVE-2024-44133, atau sejenisnya, di alam liar.
Apple merilis perbaikan untuk CVE-2024-44133 dalam pembaruannya untuk macOS Sequoia pada 16 September.
“Ini merupakan kekhawatiran serius, karena adanya akses tidak sah yang diberikan,” kata Xen Madden, pakar keamanan siber di Menlo Security, menekankan perlunya organisasi memperbarui perangkat macOS mereka. Namun, ia menambahkan, “Kelihatannya, sebagian besar alat EDR akan mendeteksinya, terutama karena Microsoft Defender yang mendeteksinya.”
Memanfaatkan HM Surf
Di semua perangkat Apple, TCC ada untuk mengelola data sensitif dan fitur apa saja yang dapat diakses oleh aplikasi. Jika beberapa aplikasi ingin mengakses kamera Anda, misalnya berkat TCC, Anda dapat yakin bahwa Mac Anda akan meminta izin Anda terlebih dahulu.
Kecuali jika aplikasi Anda memiliki “hak” khusus. Beberapa aplikasi milik Apple memiliki hak — izin khusus, yang disetujui oleh Apple, yang memberikan hak istimewa unik dibandingkan dengan aplikasi lain. Inti dari alasan kerja HM Surf adalah hak Safari, “com.apple.private.tcc.allow,” yang memungkinkannya melewati TCC di tingkat aplikasi, dan menerapkannya hanya pada basis per situs web (“per asal”). Dengan kata lain, Safari dapat dengan bebas mengakses kamera dan mikrofon Anda sesuai keinginan, namun situs web mana pun yang Anda kunjungi melalui Safari kemungkinan besar tidak dapat mengaksesnya.
Konfigurasi Safari — termasuk aturan yang menentukan perlindungan TCC per asal — disimpan dalam berbagai file di bawah ~/Perpustakaan/Safaridalam direktori home pengguna. Memanipulasi file-file ini dapat memberikan jalur ke jalan pintas TCCmeskipun direktori home itu sendiri dilindungi TCC.
Namun, mengatasi hambatan tersebut sangatlah mudah, dengan menggunakan utilitas baris perintah layanan direktori autologis (DSCL), sebuah alat di macOS untuk mengelola layanan direktori dari baris perintah. Di HM Surf, DSCL digunakan untuk mengubah sementara direktori home, menghilangkan pelindung payung TCC ~/Perpustakaan/Safari. Kini mereka dapat memodifikasi konfigurasi TCC per asal Safari — mengizinkan semua jenis izin untuk situs web jahat buatan mereka sendiri — sebelum akhirnya memulihkan direktori home. Setelah itu, jika pengguna mengunjungi situs jahat tersebut, situs tersebut akan memiliki kemampuan penuh untuk mengambil tangkapan layar, data lokasi, dan lainnya, tanpa pernah memicu pop-up izin.
Apakah CVE-2024-44133 Sudah Dieksploitasi?
Setelah meramu eksploitasi mereka, Microsoft mulai memindai lingkungan pelanggan untuk mencari aktivitas yang selaras dengan apa yang mereka temukan. Di satu perangkat, lihatlah, mereka melihat sesuatu yang sangat mirip dengan apa yang mereka cari.
Itu adalah program yang menggali pengaturan konfigurasi Chrome korban, menambahkan persetujuan untuk akses mikrofon dan kamera ke URL tertentu. Ia juga melakukan lebih banyak hal: mengumpulkan informasi pengguna dan perangkat, meletakkan dasar untuk payload tahap kedua.
Ternyata program ini adalah program adware macOS terkenal bernama “Beban Iklan.” AdLoad membajak dan mengalihkan lalu lintas browser, mengganggu pengguna dengan iklan yang tidak diinginkan. AdLoad juga melangkah lebih jauh: mengumpulkan data pengguna, mengubah perangkat yang terinfeksi menjadi node di botnet, dan bertindak sebagai tempat persiapan untuk muatan berbahaya lebih lanjut.
Dalam postingan blognya, Microsoft mencatat bahwa meskipun aktivitas AdLoad sangat mirip dengan teknik HM Surf, “Karena kami tidak dapat mengamati langkah-langkah yang diambil menuju aktivitas tersebut, kami tidak dapat sepenuhnya menentukan apakah kampanye AdLoad mengeksploitasi HM surf. kerentanan itu sendiri.” Namun, ia menambahkan, “Penyerang yang menggunakan metode serupa untuk menyebarkan ancaman umum meningkatkan pentingnya perlindungan terhadap serangan menggunakan teknik ini.”
Dark Reading telah menghubungi Apple dan Microsoft untuk memberikan komentar lebih lanjut mengenai cerita ini.
_Vladimir_Stanisic_Alamy.jpg?disable=upscale&width=1200&height=630&fit=crop&w=300&resize=300,300&ssl=1 "Risiko menggunakan model AI yang dikembangkan oleh negara -negara yang bersaing")
![[Virtual Event] Anatomi pelanggaran data: dan apa yang harus dilakukan jika itu terjadi pada Anda](https://i0.wp.com/www.darkreading.com/assets/darkreading-C928X8LZ.ico?w=300&resize=300,300&ssl=1 "[Virtual Event] Anatomi pelanggaran data: dan apa yang harus dilakukan jika itu terjadi pada Anda")