macOS-lek maakt alle macOS AppKit-gebaseerde apps kwetsbaar

Een ‘process injection vulnerability’ is aangetroffen in macOS. Hiermee konden alle op macOS AppKit gebaseerde applicaties worden misbruikt om toegang te krijgen tot andere applicaties en het systeem zelf. Apple heeft de kwetsbaarheid inmiddels opgelost met een update in macOS Monterey. De kwetsbaarheid is ontdekt door Thijs Alkemade, ethisch hacker bij Computest Security, en deze week gepresenteerd op de internationale hackerconferenties Black Hat en DEF CON.

Door de process injection vulnerability in macOS te misbruiken zouden kwaadwillenden via één applicatie toegang kunnen krijgen tot de rechten van andere applicaties en in staat zijn deze te misbruiken. Hiermee zouden bijvoorbeeld ongemerkt de camera of microfoon aangezet kunnen worden of zou zelfs toegang verkregen kunnen worden tot het hele systeem. Daarmee zouden aanvallers bijvoorbeeld ook redelijk eenvoudig malware kunnen installeren. Wat de kwetsbaarheid bijzonder interessant maakt, is dat deze universeel toepasbaar is op alle AppKit gebaseerde applicaties.

Kwetsbaarheid op onverwachte plek

Alkemade geeft verder aan dat het een kwetsbaarheid betreft op een onverwachte plek. Het bevond zich in een functionaliteit die al tien jaar geleden werd ontwikkeld: de ‘saved state’-functie. Hiermee biedt het systeem als je je computer uitschakelt aan, de vensters die je open hebt staan opnieuw te openen zodra je het systeem weer opstart. Bij de ontwikkeling van saved state was er nog geen kwetsbaarheid, omdat er destijds nog niet zo’n veelheid aan applicaties met allemaal verschillende rechten was. Dit verschil in permissies zorgt er ook voor dat de kwetsbaarheid mogelijk veel impact kan hebben.

“Het is begrijpelijk dat functies die lang geleden zijn ontwikkeld niet altijd zijn berekend op de technologie van vandaag. Eigenlijk zou je ook regelmatig het systeem in zijn geheel moeten onderzoeken”, zegt Alkemade. “Dit gebeurt echter doorgaans niet, omdat de focus ligt op het ontwikkelen van nieuwe functies. Maar naarmate een systeem groter en veelomvattender wordt, wordt het vaak ook kwetsbaarder. Het is belangrijk dat organisaties zich hier bewust van zijn en daarvoor passende security-maatregelen treffen.”

Update beschikbaar

Alkemade meldde het beveiligingslek bij Apple en gaf bovendien informatie over hoe het beveiligingslek misbruikt zou kunnen worden. Hiervoor heeft hij een zogenaamde bug bounty ontvangen. Apple heeft de kwetsbaarheid inmiddels opgelost door een update uit te brengen voor macOS Monterey. Verder zijn er wijzigingen aangebracht in de documentatie van Appkit zodat ontwikkelaars nieuwe applicaties en functies kunnen bouwen zonder dat er sprake is van de genoemde kwetsbaarheid.

Het is niet het eerste lek dat Alkemade ontdekte. Samen met zijn collega Daan Keuper focust hij zich in een eigen lab bij Computest Security volledig op onderzoek. Hiermee hebben ze inmiddels verschillende prijswinnende hacks op hun naam weten te zetten. Zo wonnen Alkemade en Keuper al twee keer de internationale hack-competitie Pwn2Own door Zoom te hacken en kwetsbaarheden in industriële systemen aan te tonen. Ook legden zij kwetsbaarheden bloot bij verschillende auto’s van de Volkswagen Groep.