Cyberthreat.id – Apple baru saja memperbaiki kerentanan yang dapat dimanfaatkan penyerang untuk menyebarkan malware pada perangkat macOS yang rentan melalui aplikasi berbahaya yang mampu melewati batasan eksekusi aplikasi Gatekeeper.

Dikutip dari Bleeping Computer, kerentanan ini ditemukan dan dilaporkan oleh peneliti keamanan utama Microsoft Jonathan Bar Or, kelemahan keamanan (dijuluki Achilles) sekarang dilacak sebagai CVE-2022-42821.

Apple mengatasi bug di macOS 13 (Ventura), macOS 12.6.2 (Monterey), dan macOS 1.7.2 (Big Sur) satu minggu lalu, pada 13 Desember.

Sebagai informasim, gatekeeper adalah fitur keamanan macOS yang secara otomatis memeriksa semua aplikasi yang diunduh dari Internet jika aplikasi tersebut diaktakan dan ditandatangani oleh pengembang (disetujui oleh Apple), meminta pengguna untuk mengonfirmasi sebelum meluncurkan atau mengeluarkan peringatan bahwa aplikasi tersebut tidak dapat dipercaya. Hal ini dicapai dengan memeriksa atribut yang diperluas bernama com.apple.quarantine yang ditetapkan oleh browser web ke semua file yang diunduh, mirip dengan Mark of the Web di Windows.

Kerentanan Achilles memungkinkan muatan yang dibuat khusus menyalahgunakan masalah logika untuk menyetel izin Access Control List (ACL) yang membatasi yang memblokir browser web dan pengunduh Internet dari menyetel atribut com.apple.quarantine untuk mengunduh muatan yang diarsipkan sebagai file ZIP.

Akibatnya, aplikasi berbahaya yang terkandung dalam muatan berbahaya yang diarsipkan diluncurkan di sistem target alih-alih diblokir oleh Gatekeeper, memungkinkan penyerang mengunduh dan menyebarkan malware.

Microsoft mengatakan pada hari Senin bahwa mode Penguncian Apple, yang diperkenalkan di macOS Ventura sebagai fitur perlindungan opsional untuk pengguna berisiko tinggi yang mungkin menjadi sasaran pribadi oleh serangan dunia maya yang canggih, bertujuan untuk menghentikan eksploit eksekusi kode jarak jauh tanpa klik, dan oleh karena itu tidak bertahan melawan Achilles.

"Pengguna akhir harus menerapkan perbaikan terlepas dari status Mode Lockdown mereka," tim Microsoft Security Threat Intelligence menambahkan.

Ini hanyalah salah satu dari beberapa bypass Gatekeeper yang ditemukan dalam beberapa tahun terakhir, dengan banyak di antaranya disalahgunakan oleh penyerang untuk menghindari mekanisme keamanan macOS seperti Gatekeeper, Karantina File, dan Perlindungan Integritas Sistem (SIP) pada Mac yang telah ditambal sepenuhnya.

Misalnya, Bar Or melaporkan kelemahan keamanan yang dijuluki Shrootless pada tahun 2021 yang memungkinkan pelaku ancaman melewati Perlindungan Integritas Sistem (SIP) untuk melakukan operasi sewenang-wenang pada Mac yang dikompromikan, meningkatkan hak istimewa untuk melakukan root, dan bahkan menginstal rootkit pada perangkat yang rentan.

Peneliti juga menemukan powerdir, sebuah bug yang memungkinkan penyerang melewati teknologi Transparency, Consent, and Control (TCC) untuk mengakses data pengguna yang dilindungi. Dia juga merilis kode eksploit untuk kerentanan macOS (CVE-2022-26706) yang dapat membantu penyerang melewati batasan kotak pasir untuk menjalankan kode pada sistem.

Apple sendiri  memperbaiki kerentanan macOS zero-day pada April 2021 yang memungkinkan aktor ancaman di balik malware Shlayer yang terkenal untuk menghindari pemeriksaan keamanan Karantina File, Gatekeeper, dan Notarisasi Apple dan mengunduh lebih banyak malware di Mac yang terinfeksi.