Phát hiện lỗ hổng zero-day mới trên macOS cho phép kẻ tấn công chạy lệnh từ xa

Một nhóm các nhà nghiên cứu bảo mật quốc tế vừa công khai tiết lộ một lỗ hổng mới tồn tại trong macOS Finder của Apple. Đây về cơ bản là một lỗ hổng zero-day có mức độ nghiêm trọng cao, có thể cho phép kẻ tấn công thực thi các lệnh tùy ý trên máy Mac mục tiêu, bất kể phiên bản macOS đang sử dụng là gì.

Lỗ hổng này được tìm thấy đầu tiên bởi nhóm các nhà nghiên cứu bảo mật độc lập dẫn đầu bởi chuyên gia an ninh mạng Park Minchan. Vấn đề bắt nguồn từ cách thức macOS xử lý các tệp inetloc, điều này vô tình khiến cho hệ thống tự động chạy bất cứ lệnh nào được kẻ tấn công nhúng vào bên trong mà không thể đưa ra bất kỳ cảnh báo hoặc lời nhắc nào cho người dùng.

Trên macOS, các tệp Internet location có phần đuôi mở rộng .inetloc là thành phần lưu trữ dữ liệu dấu trang trên toàn hệ thống, và có thể được sử dụng để mở tài nguyên trực tuyến (news://, ftp://, afp://) or local files (file://).

"Một lỗ hổng trong macOS Finder cho phép các tệp có phần mở rộng inetloc thực thi lệnh tùy ý. Các tệp này có thể được nhúng bên trong email độc hại mà nếu người dùng nhấp vào, chúng sẽ lập tức thực thi các lệnh được nhúng bên trong mà không đưa ra bất cứ lời nhắc hoặc cảnh báo nào cho người dùng”.

Về phần mình, Apple dường như đã biết về vấn đề và đang âm thầm khắc phục sự cố mà không chỉ định số nhận dạng CVE. Nhóm Park Minchan và các cộng sự cũng đã phát hiện ra rằng bản vá của Apple chỉ giải quyết một phần lỗ hổng, vì nó vẫn có thể bị khai thác bằng cách thay đổi giao thức được sử dụng để thực hiện các lệnh nhúng từ file:// sang FiLe://.

"Chúng tôi đã thông báo với Apple rằng FiLe: // (chỉ thay đổi giá trị) dường như không bị chặn, nhưng chưa nhận được bất kỳ phản hồi nào từ họ cho đến lúc này. Theo như chúng tôi nhận định, hiện tại, lỗ hổng này vẫn chưa thực sự được vá".

Nhóm nghiên cứu chưa cung cấp bất kỳ thông tin cụ thể nào về cách thức những kẻ tấn công có thể lạm dụng lỗ hổng này. Tuy nhiên về lý thuyết, nó hoàn toàn có khả năng bị các tác nhân đe dọa sử dụng để tạo các tệp đính kèm email độc hại có thể khởi chạy tải trọng đi kèm hoặc từ xa khi nạn nhân truy cập.

Các thử nghiệm thực tế ban đầu đã xác nhận rằng lỗ hổng này có thể được sử dụng để chạy các lệnh tùy ý trên macOS Big Sur, bằng cách sử dụng các tệp được tạo thủ công đặc biệt tải xuống từ Internet mà không có bất kỳ lời nhắc hoặc cảnh báo nào.

Một tệp .inetloc có mã PoC cũng đã không bị phát hiện bởi bất kỳ công cụ chống phần mềm độc hại nào trên VirusTotal. Điều đó có nghĩa là người dùng macOS bị các tác nhân đe dọa nhắm mục tiêu bằng cách sử dụng phương pháp tấn công này sẽ không được bảo vệ bởi phần mềm bảo mật.

Hy vọng Apple sẽ sớm triển khai những biện pháp khắc phục vấn đề triệt để hơn trong thời gian tới