Μια ευπάθεια που ανακαλύφθηκε πρόσφατα αμφισβητεί τη μακροχρόνια πεποίθηση ότι τα συστήματα macOS είναι εγγενώς απρόσβλητα από κακόβουλο λογισμικό.
Ερευνητές ασφαλείας από την Ομάδα Παγκόσμιας Έρευνας και Ανάλυσης της Kaspersky (GReAT) εντόπισαν ένα κρίσιμο ελάττωμα που επιτρέπει στους φορείς απειλών να εκτελούν κακόβουλο κώδικα σε Mac απλώς επεξεργάζοντας ένα παραποιημένο αρχείο εικόνας.
Το ExifTool, ένα ευρέως διαδεδομένο βοηθητικό πρόγραμμα ανοιχτού κώδικα για την ανάγνωση και την επεξεργασία μεταδεδομένων αρχείων, βρίσκεται στην καρδιά αυτού του ζητήματος.
Επειδή το εργαλείο λειτουργεί αθόρυβα στο παρασκήνιο πολλών μεγαλύτερων συστημάτων διαχείρισης ψηφιακών περιουσιακών στοιχείων, εγκληματολογικών πλατφορμών και σεναρίων επεξεργασίας πολυμέσων, οι χρήστες μπορεί να είναι ευάλωτοι χωρίς να συνειδητοποιούν ότι το χρησιμοποιούν.
Πώς το Exploit ενεργοποιεί την εκτέλεση κώδικα
Για να εκμεταλλευτούν αυτήν την ευπάθεια, οι εισβολείς αποκρύπτουν κακόβουλες εντολές φλοιού μέσα σε ένα συγκεκριμένο πεδίο μεταδεδομένων ενός αρχείου εικόνας, γνωστό ως DateTimeOriginal.
Ενώ η ίδια η φωτογραφία φαίνεται εντελώς φυσιολογική με γυμνό μάτι, αυτό το πεδίο μεταδεδομένων έχει γραφτεί εσκεμμένα σε μη έγκυρη μορφή για να φιλοξενήσει το κρυφό ωφέλιμο φορτίο.
Η ευπάθεια, η οποία παρακολουθείται επίσημα ως CVE-2026-3102, είναι ένα ελάττωμα της Απομακρυσμένης Εκτέλεσης Κώδικα (RCE) που ενεργοποιείται από μεταδεδομένα εικόνας που έχουν υποστεί χειραγώγηση.
Το ζήτημα ασφαλείας του επηρεάζει συγκεκριμένα τις εκδόσεις ExifTool 13.49 και προγενέστερες και περιορίζεται σε περιβάλλοντα macOS.
Το κρίσιμο ελάττωμα ανακαλύφθηκε και αναφέρθηκε από ερευνητές ασφαλείας στην Ομάδα Παγκόσμιας Έρευνας και Ανάλυσης της Kaspersky (GReAT).
Η επίθεση βασίζεται σε δύο συγκεκριμένες συνθήκες για την εκτέλεση των εντολών. Πρώτον, η επεξεργασία πρέπει να γίνει σε ένα σύστημα macOS.
Δεύτερον, η εφαρμογή ExifTool ή η υποκείμενη βιβλιοθήκη πρέπει να εκτελείται με ενεργοποιημένη τη σημαία -n (ή –printConv).
Αυτή η συγκεκριμένη λειτουργία γραμμής εντολών δίνει οδηγίες στο λογισμικό να εξάγει δεδομένα αναγνώσιμα από μηχανή ακριβώς όπως είναι, παρακάμπτοντας σκόπιμα την τυπική επεξεργασία που μεταφράζει τα μεταδεδομένα σε μορφές αναγνώσιμες από τον άνθρωπο.
Όταν αυτές οι συνθήκες ευθυγραμμίζονται, το σύστημα παρακάμπτει τους ελέγχους ασφαλείας και εκτελεί χωρίς σκέψη τις εντολές φλοιού.
Σε ένα πραγματικό σενάριο, μια δημοσίευση μέσων ή ένα εργαστήριο εγκληματολογίας μπορεί να λάβει ένα στοχευμένο έγγραφο.
Όταν τα αυτοματοποιημένα συστήματά τους καταγράφουν το αρχείο και εξάγουν τα μεταδεδομένα του, οι κρυφές εντολές ενεργοποιούνται σιωπηλά.
Αυτή η αρχική παραβίαση επιτρέπει στους εισβολείς να κατεβάζουν δευτερεύοντα ωφέλιμα φορτία, όπως infostealers ή Trojans, θέτοντας σε κίνδυνο τη συσκευή ενώ το θύμα δεν γνωρίζει.
Μετριασμούς
Μετά την αποκάλυψη από τους ερευνητές της Kasperskyο προγραμματιστής του ExifTool κυκλοφόρησε αμέσως μια ενημέρωση κώδικα.
Οι οργανισμοί και οι μεμονωμένοι χρήστες πρέπει να ενημερώσουν αμέσως τις ροές εργασιών λογισμικού τους για να αποτρέψουν πιθανή εκμετάλλευση.
Για να μετριάσουν αυτήν την απειλή, οι οργανισμοί θα πρέπει να ενημερώσουν το ExifTool στην έκδοση 13.50 ή μεταγενέστερη και να διασφαλίσουν ότι τα συστήματα δεν βασίζονται σε ευάλωτες ενσωματωμένες εκδόσεις.
Οι μη αξιόπιστες εικόνες θα πρέπει να υποβάλλονται σε επεξεργασία σε απομονωμένα περιβάλλοντα και οι οργανισμοί θα πρέπει να αναπτύσσουν ισχυρές προστασίες ασφαλείας macOS σε όλες τις συσκευές, συμπεριλαμβανομένων των τελικών σημείων BYOD.
Επειδή το ExifTool είναι ένα θεμελιώδες στοιχείο ανοιχτού κώδικα, οι οργανισμοί πρέπει επίσης να παρακολουθούν ενεργά τις αλυσίδες εφοδιασμού λογισμικού τους χρησιμοποιώντας ροές δεδομένων απειλών για τον εντοπισμό ξεπερασμένων βιβλιοθηκών τρίτων.
