[Cảnh báo] Lỗi xác nhận chữ ký trên Mac

July 8, 2018

Một lỗ hổng cũ đã được phát hiện trong một số phần mềm bảo mật dành cho Mac khi triển khai chứng thực số của Apple có tên là ADP có thể khiến các chương trình độc hại dễ dàng vượt qua kiểm tra bảo mật, có khả năng khiến hàng triệu người dùng Apple dễ bị tấn công.
Josh Pitts, một nhà nghiên cứu của hãng bảo mật Okta, phát hiện ra rằng một số sản phẩm bảo mật của bên thứ ba cho Mac – bao gồm Little Snitch, F-Secure xFence, VirusTotal, Google Santa và Facebook OSQuery có thể bị vượt qua khi chưa được chứng thực bởi Apple.
Cơ chế ký mã là một vũ khí quan trọng trong cuộc chiến chống phần mềm độc hại, giúp người dùng xác định ai đã ký ứng dụng và cũng cung cấp bằng chứng hợp lý rằng nó không bị thay đổi.
Tuy nhiên, ông Pitts thấy rằng cơ chế được sử dụng bởi hầu hết các phần mềm bảo mật kiểm tra chữ ký số là dễ dàng để vượt qua, cho phép các tập tin độc hại kết hợp với chứng thực số hợp pháp của Apple nhằm tăng tính hiệu quả trong việc làm cho phần mềm độc hại trông giống như nó đã được chứng thực bởi Apple.
Cần lưu ý rằng vấn đề này không phải là một lỗ hổng trong bản thân hệ điều hành MAC mà là một lỗ hổng trong cả các phần mềm bảo mật của bên thứ ba có triển khai chứng thực số  API của Apple khi xử lý các tệp thực thi của MAC – được gọi là các tệp Universal/Fat.
Việc khai thác lỗ hổng này yêu cầu kẻ tấn công sử dụng định dạng nhị phân Universal hoặc Fat, chứa một số tệp Mach-O (executable, dyld, hoặc bundle) được viết cho các nền tảng CPU khác nhau(i386, x86_64 hoặc PPC).
“Lỗ hổng này tồn tại dựa trên sự khác biệt giữa cách trình nạp Mach-O tải chứng thực số với các chứng thực số API kiểm tra chứng thực đã được sử dụng không đúng cách. Điều này được khai thác thông qua một tệp Universal/Fat nhị phân không đúng định dạng”, Ông Pitts giải thích.
Ông Pitts cũng đã tạo ra một số tệp PoC Fat/Universal không đúng định dạng để các nhà phát triển sử dụng vào việc kiểm tra các sản phẩm của họ nhằm chống lại lỗ hổng này.
Trong một số trường hợp, các nhà nghiên cứu khẳng định rằng các cuộc tấn công thành công trong việc khai thác kỹ thuật này có thể cho phép kẻ tấn công truy cập vào dữ liệu cá nhân, chi tiết tài chính và thậm chí thông tin nội bộ nhạy cảm.
Dưới đây là danh sách các nhà cung cấp bị ảnh hưởng, cùng với các phần mềm bảo mật liên quan và các CVE:
  • VirusTotal (CVE-2018-10408)
  • Google—Santa, molcodesignchecker (CVE-2018-10405)
  • Facebook—OSQuery (CVE-2018-6336)
  • Objective Development—LittleSnitch (CVE-2018-10470)
  • F-Secure—xFence and LittleFlocker (CVE-2018-10403)
  • Objective-See—WhatsYourSign, ProcInfo, KnockKnock, LuLu, TaskExplorer and others (CVE-2018-10404)
  • Yelp—OSXCollector (CVE-2018-10406)
  • Carbon Black—Cb Response (CVE-2018-10407)
Lần đầu tiên các nhà nghiên cứu thông báo cho Apple về lỗ hổng này là vào tháng 3/2018 nhưng Apple tuyên bố rằng công ty họ không coi đó là vấn đề bảo mật mà họ phải trực tiếp giải quyết.
“Apple tuyên bố rằng các tài liệu về vấn đề này có thể được cập nhật và các tính năng mới có thể được tạo ra, nhưng các nhà phát triển bên thứ ba sẽ cần phải làm thêm nhiều việc để xác minh rằng tất cả đặc tính trong toàn thể hệ nhị phân là giống nhau. Họ phải làm việc đó nếu như muốn giới thiệu một kết quả gì đó có ý nghĩa”. Ông Pitts nói.
Chính vì thế, mà ngay sau khi nghe tin từ Apple, Okta đã liên lạc với CERT/CC và sau đó thông báo cho tất cả các nhà phát triển bên thứ ba bị ảnh hưởng – những người đang làm việc trên các bản bảo mật mà rất có thể sẽ sớm được phát hành.
Google đã thừa nhận và ngay lập tức phát hành bản cập nhật bảo mật cho Santa vào cuối tháng tư. Vì vậy, người dùng được đề nghị hãy nâng cấp lên Santa v0.9.25 mới nhất.
Facebook cũng đã khắc phục sự cố này trong phiên bản mới nhất của OSquery, hiện nay phiên bản này đã có sẵn để tải xuống. F-Secure cũng đã tung ra bản cập nhật tự động cho người dùng xFENCE để vá lỗ hổng bảo mật.
Nếu bạn đang sử dụng một trong những phần mềm bảo mật được liệt kê ở trên, bạn nên kiểm tra các bản cập nhật trong những ngày tới và nâng cấp phần mềm của bạn ngay khi chúng được phát hành để bảo vệ chống lại các cuộc tấn công khai thác lỗ hổng bảo mật.
Biên tập viên DSH