Глава безопасности Dropbox Крис Эванс (Chris Evans) рассказал в блоге компании об интересной ситуации, которая произошла еще весной текущего года. Тогда команда Dropbox проводила масштабный пентест с привлечением сторонних ИБ-специалистов из компании Syndis, и red team всячески старалась скомпрометировать работу сервиса.
Однако никто не ожидал, что специалисты Syndis отнесутся к своей задаче настолько ответственно, что обнаружат сразу три уязвимости нулевого дня в продуктах Apple и, скомбинировав эксплоиты для них, атакуют Dropbox таким образом. Найденные экспертами баги затрагивали macOS младше версии 10.13.4 и позволяли выполнить произвольный код в системе жертвы, предварительно заманив ее на вредоносный сайт.
Первая обнаруженная экспертами Syndis уязвимость получила идентификатор CVE-2017-13890. Этот баг позволял использовать Safari для автоматического скачивания и принудительного монтирования образа диска.
Вторая проблема имеет идентификатор CVE-2018-4176. Использует монтирование диска для запуска приложения без разрешения пользователя. Для атаки необходимо, чтобы жертва посетила вредоносный сайт. Также не стоит забывать о том, что Gatekeeper позволит запустить только те приложения, которые подписаны известными разработчиками.
Третий баг в этой цепочке эксплоитов, CVE-2018-4175, позволяет зарегистрировать новое расширение файлов запустить приложение, которые теперь считается безопасными. В итоге можно будет обратиться к shell-скриптам и оставить Gatekeeper не у дел.
На что способны три эти уязвимости вместе, можно увидеть в PoC-видео ниже.
Специалисты Dropbox и Syndis уведомили Apple о найденных багах еще в конце февраля 2018 года, и в конце марта 2018 года уязвимости были исправлены. Судя по всему, столь длительная задержка с раскрытием информации об этих проблемах была вызвана тем, что исследователи Syndis так же обнаружили уязвимость CVE-2018-4389, угрожавшую macOS Mojave 10.14. Этот баг был связан с обработкой вредоносных писем и делал возможным спуфинг UI. И эту уязвимость исправили лишь недавно, в конце октября текущего года. Очевидно, до этого времени экспертам не позволяли придать данные о проблемах огласке.
