Taggat med: macOS

Intressanta nya kryptobuggar

På senare tid har minst två intressanta kryptobuggar uppdagats. Den första som jag tycker var intressant är den som tyska SEC Consult uppdagade i Outlooks hantering av S/MIME.

The impact is that a supposedly S/MIME encrypted mail can be read without the private keys of the recipient

Denna krypto-bugg som drabbar Outlook har funnits i cirka 6 månader. Och förevisas rätt uppenbart med följande bild:

Den andra intressanta buggen är den som Apple introducerade i samband med att en krypterad disk uppgraderas från HFS+ till APFS eller skapas på nytt via Disk Utility. Där visas ditt riktiga lösenord som lösenordstips istället för själva tipset. Apple var som tur snabba och släppte en uppdatering. Även så passade Apple på att fixa KeyChain sårbarheten jag skrev om för några dagar sedan.

Buggen har CVE-2017-7149 och förevisas här av Matheus Mariano:

Tittar vi på koden så ser det ut att vara ett klassiskt kopiera-och-klistra problem:Bildkälla

Uppdatering: Microsoft har släppt en uppdatering och buggen har fått en CVE: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-11776

Tipstack till läsaren Mikael Thurberg.

 Säkerhetsåtgärder i macOS High Sierra 10.13

Idag släpptes en ny version av Apples operativsystem vid namn macOS High Sierra 10.13. Denna nya uppdatering innehåller flertalet säkerhetsuppdateringar som åtgärdar minst 22 olika sårbarheter.

Några exempel på intressanta brister som åtgärdas:

  • Ett återkallat certifikat kan vara bli betrott
  • Avsändaren av ett E-postmeddelande kan ta redan på mottagarens IP-adress om denne använder Apple Mail
  • Cure53 har identifierat 9 sårbarheter i ntp

Även så inkluderar High Sierra ett verktyg vid namn eficheck som körs veckovis för att kontrollera att ingen firmware har blivit modifierad i din Apple-dator.

Delar av macOS där säkerhetsbrister återfinnes är bl.a:

  • Application Firewall
  • AppSandbox
  • Captive Network Assistant
  • CFNetwork Proxies
  • CoreAudio
  • Directory Utility
  • file
  • Heimdal
  • IOFireWireFamily
  • Kernel
  • libc
  • libexpat
  • Mail

En intressant sårbarhet som återfinnes i denna uppdatering men som ännu ej åtgärdats är en typ av keychainStealer som före detta NSA-medarbetaren Patrick Wardle identifierat.

Denna sårbarhet medger att en app kan stjäla all data som lagras i din nyckelring (keychain):

https://twitter.com/patrickwardle/status/912254053849079808

Årets första skadliga kod till Mac upptäckt

Det är företaget Malwarebytes som upptäckt den första skadliga koden till macOS (tidigare Mac OS X). Det är en bakdörr som går under namnet OSX.Backdoor.Quimitchin

Denna skadlig kod har identifierats hos biomedicinska forskningsanläggningar och har troligtvis utvecklas runt 2013-2014. Även så misstänker Malwarebytes att det finns en Windows-version av denna skadlig kod eftersom VirusTotal har identifierat Windows-binärer som pratar med samma C&C-server (Command and Control):

99.153.29.240
eidk.hopto.org

I övrigt använder den skadliga koden de klassiska tricken som att skriva ut en uppstartsfil för exekvering till ~/Library/LaunchAgents/com.client.client.plist

Även skrivs ett antal filer ner till disk som är skrivna i Java samt Perl. Dessa filer innehåller i sin tur kommandon för både Linux och macOS såsom xwd och macOS motsvarighet screencapture.

Nu har även Apple lagt in denna skadlig kod i det inbyggda antivirus-programmet Gatekeeper till macOS. Apple kallar denna skadliga kod för Fruitfly.

Det är i dagsläget oklart hur denna skadliga kod sprids.

IOC:er att titta efter (indicators of compromise)

SHA256: 94cc470c0fdd60570e58682aa7619d665eb710e3407d1f9685b7b00bf26f9647
SHA256: 694b15d69264062e82d43e8ddb4a5efe4435574f8d91e29523c4298894b70c26
SHA256: 83b712ec6b0b2d093d75c4553c66b95a3d1a1ca43e01c5e47aae49effce31ee3
SHA256: ce07d208a2d89b4e0134f5282d9df580960d5c81412965a6d1a0786b27e7f044
SHA256: b556c04c768d57af104716386fe4f23b01aa9d707cbc60385895e2b4fc08c9b0
SHA256: bbbf73741078d1e74ab7281189b13f13b50308cf03d3df34bc9f6a90065a4a55

 Nya säkerhetshöjande funktioner i macOS Sierra

För några timmar sedan så släppte Apple en ny version av sitt operativsystem. Denna nya version heter macOS Sierra och är en uppföljare till OS X El Capitan.

Sierra innehåller över 60 stycken säkerhetsfixar (som givetvis även finns tillgängliga för El Capitan) och här är ett axplock av dessa:

  • Apple HSSPI Support CVE-2016-4697:
  • AppleEFIRuntime CVE-2016-4696
  • AppleMobileFileIntegrity CVE-2016-4698
  • AppleUUC CVE-2016-4699 och CVE-2016-4700
  • Application Firewall CVE-2016-4701
  • ATS CVE-2016-4779
  • Audio CVE-2016-4702

Den sårbarhet som är allvarligast enligt min bedömning är CVE-2016-4702 som gör att en angripare över nätverket kan exekvera kod (remote code execution).

Även så innehåller Sierra en intressant funktion som eventuellt öppnar upp för framtida säkerhetsbrister är möjligheten att låsa upp sin stationära dator via Apple Watch.

Sierra åtgärdar även ett säkerhetsrelaterat problem som har uppmärksammats genom att Dropbox försöker ”sno” användarens lösenord och således erhålla möjlighet att styra OS X:

dropbox

Men detta behöver inte Dropbox göra längre då användaren nu får en ny dialogruta som frågar efter behörigheter på följande sätt:

dropbox-accessibility-permission

Även så går det inte längre att via Systeminställningarna ställa in så att appar går att köra från alla ställen då ”Anywhere” saknas som ett tredje alternativ här:

sierra

Men detta förfarande i Gatekeeper går givetvis att ändra med lite kommandotolks-magi. Dock inget jag rekommenderar:

sudo spctl --master-disable 

En till säkerhetshöjande åtgärd inom Gatekeeper är nu att osignerade nyinstallerade appar kommer att hamna i en ny katalog med slumpmässigt namn. Detta är för att försvåra för skadlig kod att utnyttja en brist som Patrick Wardle på företaget Synack identifierade 2015. Även så skrotas stödet för PPTP i Sierra och iOS 10.

macOS Sierra är en kostandsfri uppgradering och går hitta i Apple App Store.

Uppdatering: Joachim Strömbergson kommenterar även att Sierra använder flertalet mer molntjänster för olika appar vilket gör att mer information lagras och hanteras i Apples molntjänster.

Uppdatering 2: Det heter givetvis El Capitan och inget annat.