Uusimmat

Haittaohjelma antaa luvatta root-oikeudet Mac OS X:ään

04.08.2015 17:44 Petrus Laine

Applen OS X -käyttöjärjestelmän tuoreimmasta 10.10 Yosemite -versiosta on löytynyt viime kuussa ns. DYLD_PRINT_TO_FILE -zero-day haavoittuvuus, ja tänään Malwarebytesin Adam Thomas on löytänyt ensimmäisen sitä hyödyntävän haittaohjelman. Vaikka haavoittuvuuden olemassaolosta viime kuun alkupuolella kertonut Stefan Esser ei informoinut asiasta Applea, Twitter-nimimerkki @beist on varoittanut Applea sen olemassaolosta jo ennen kuin Esser kertoi haavoittuvuudesta julkisesti. Apple ei ole toistaiseksi korjannut haavoittuvuutta.

Thomas löysi DYLD_PRINT_TO_FILE-haavoittuvuutta käyttävän haittaohjelman asennustiedoston, ja huomasi sen muokkaavan sudoers-tiedostoa. Sudoers-tiedosto on Unix-pohjaisten käyttöjärjestelmien piilotettu tiedosto, joka määrittää mitkä käyttäjät saavat root-oikeudet käyttöjärjestelmään. Nyt löydetyn haittaohjelman tapauksessa root-oikeudet lisättiin haittaohjelman asentavalle käyttäjälle siten, ettei rootin käyttöön tarvitse salasanaa. Tämän myötä mikä tahansa ohjelma, haitallinen tai ei, voi tehdä käyttöjärjestelmään isojakin muutoksia käyttäjän tietämättä asiasta mitään.

Löydetyn haittaohjelman tapauksessa se käynnistää VSInstaller-ohjelman ja asentaa VSearch-adwaren, variantin Genieo-adwaresta ja hyödyttömäksi, jopa haitalliseksi todetun MacKeeper-ohjelman. Näiden asennusten jälkeen haittaohjelma ohjaa käyttäjän lataamaan App Storesta Download Shuttle -latausohjelman.

Malwarebytes Unpacked, DYLD_PRINT_TO_FILE exploit found in the wild