НОВОСТИ ИБ

21 января 2009

Уязвимость в OS X позволяет внедрять код в память

Один из исследователей в области компьютерной безопасности обнаружил новый способ внедрения вредоносного кода непосредственно в оперативную память компьютеров, работающих под управлением OS X, что значительно затрудняет обнаружение атаки на Mac с помощью доступных на сегодня инструментов анализа.
Методика, которую итальянский студент Винченцо Иоццо планирует осветить в ходе открывающейся в следующем месяце конференции Black Hat, позволяет проводить на Mac такие атаки, которые до этого момента были неосуществимы. Внедрение кода в оперативную память позволит неавторизованному приложению устанавливать себя в Mac не оставляя при этом следов выполнения кода атаки и других признаков того, что компьютер скомпрометирован.
В отличие от большинства известных атак, метод Иоццо позволяет выполнить бинарный код полностью внутри приложения или процесса. Это значит, что для проведения атаки открывать новый процесс и получать доступ к жесткому диску не потребуется. По словам эксперта, рандомизацию адресного пространства в OS X можно обойти, поскольку загрузчик динамических библиотек всегда расположен по одному и тому же адресу и позволяет предсказать, где расположены необходимые для осуществления атаки библиотеки.
Чтобы окончательно расставить все по местам, уточним, что для успешного осуществления атаки хакеру потребуется стопроцентно рабочий эксплоит непропатченной уязвимости в OS X, iTunes, Safari или еще каком-либо приложении для OS X. Данная методика не сделает проникновение более легким, она лишь поможет скрыть следы нападения. Кроме этого, даже такой способ не может считаться полностью необнаруживаемым, поскольку у исследователей всегда сохраняется возможность сделать полный дамп памяти или выявить атаку при помощи утилит мониторинга вторжений.