Resultaten security-onderzoek gepresenteerd op Black Hat en DEF CON conferenties Las Vegas

Deze week wordt op de grootste internationale hackerconferenties Black Hat en DEF CON, de kwetsbaarheid gepresenteerd die Thijs Alkemade, ethisch hacker bij Computest Security, vond in Apple’s macOS. Het betrof een ‘process injection vulnerability’. Hiermee konden alle op macOS AppKit gebaseerde applicaties worden misbruikt om toegang te krijgen tot andere applicaties en het systeem zelf. Apple heeft de kwetsbaarheid inmiddels opgelost met een update in macOS Monterey.

Door de process injection vulnerability in macOS te misbruiken zouden kwaadwillenden via één applicatie toegang kunnen krijgen tot de rechten van andere applicaties en in staat zijn deze te misbruiken. Hiermee zouden bijvoorbeeld ongemerkt de camera of microfoon aangezet kunnen worden of zou zelfs toegang verkregen kunnen worden tot het hele systeem. Daarmee zou men bijvoorbeeld ook redelijk eenvoudig malware kunnen installeren. Wat de kwetsbaarheid bijzonder interessant maakt, is dat deze universeel toepasbaar is op alle AppKit gebaseerde applicaties.

Kwetsbaarheid op onverwachte plek
Alkemade geeft verder aan dat het een kwetsbaarheid betreft op een onverwachte plek. Het bevond zich in een functionaliteit die al tien jaar geleden werd ontwikkeld: de ‘saved state’-functie. Hiermee biedt het systeem als je je computer uitschakelt aan, de vensters die je open hebt staan opnieuw te openen zodra je het systeem weer opstart. Bij de ontwikkeling van saved state was er nog geen kwetsbaarheid, omdat er destijds nog niet zo’n veelheid aan applicaties met allemaal verschillende rechten was. Dit verschil in permissies zorgt er ook voor dat de kwetsbaarheid mogelijk veel impact kan hebben.

“Het is begrijpelijk dat functies die lang geleden zijn ontwikkeld niet altijd zijn berekend op de technologie van vandaag. Eigenlijk zou je ook regelmatig het systeem in zijn geheel moeten onderzoeken”, zegt Alkemade. “Dit gebeurt echter doorgaans niet, omdat de focus ligt op het ontwikkelen van nieuwe functies. Maar naarmate een systeem groter en veelomvattender wordt, wordt het vaak ook kwetsbaarder. Het is belangrijk dat organisaties zich hier bewust van zijn en daarvoor passende security-maatregelen treffen.”

Alkemade meldde het beveiligingslek bij Apple en gaf bovendien informatie over hoe het beveiligingslek misbruikt zou kunnen worden. Hiervoor heeft hij een zogenaamde bug bounty ontvangen. Apple heeft de kwetsbaarheid inmiddels opgelost door een update uit te brengen voor macOS Monterey. Verder zijn er wijzigingen aangebracht in de documentatie van Appkit zodat ontwikkelaars nieuwe applicaties en functies kunnen bouwen zonder dat er sprake is van de genoemde kwetsbaarheid.

Prijswinnende hacks
Het onderzoek van Alkemade naar macOS is onderdeel van een indrukwekkend track record. Samen met zijn collega Daan Keuper focust hij zich in een eigen lab bij Computest Security volledig op onderzoek. Hiermee hebben ze inmiddels verschillende prijswinnende hacks op hun naam weten te zetten. Zo wonnen Alkemade en Keuper al twee keer de internationale hack-competitie Pwn2Own door Zoom te hacken en kwetsbaarheden in industriële systemen aan te tonen. Ook legden zij kwetsbaarheden bloot bij verschillende auto’s van de Volkswagen Groep.