ตรวจพบช่องโหว่บน macOS Sandbox เปิดทางให้รหัสบน Keychain โดนมัลแวร์ลบ หรือสับเปลี่ยนได้

ในระยะหลังนั้น ความเชื่อมั่นในความปลอดภัยของ macOS อาจไม่เท่าเหมือนดังเก่า เนื่องมาจากการที่มีข่าวการตรวจพบช่องโหว่ด้านความปลอดภัยไซเบอร์ รวมทั้งตกเป็นเป้าของการแฮกด้วยวิธีการต่าง ๆ มากมาย และยังมีมัลแวร์หลากสายพันธุ์คอยจับจ้องเล่นงาน สำหรับข่าวนี้ผู้ใช้งาน macOS อาจจะต้องมีความระมัดระวังตัวมากยิ่งขึ้น

จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการตรวจพบช่องโหว่ความปลอดภัยตัวใหม่บนระบบ Sandbox ของระบบปฏิบัติการ macOS ซึ่งระบบดังกล่าวนั้นเป็นระบบป้องกันภัยไซเบอร์ด้วยการสร้างภาวะแวดล้อมที่จำกัดขึ้นมาเพื่อกักตัวมัลแวร์ไว้ทำการวิเคราะห์และจัดการกับมัลแวร์ โดยช่องโหว่ดังกล่าวนั้นถูกตรวจพบโดยทีมวิจัยจากไมโครซอฟท์ ภายใต้รหัสช่องโหว่ CVE-2025-31191 หรือ ช่องโหว่ Sandbox Escape

โดยช่องโหว่ดังกล่าวนี้จะอยู่ในส่วน Security-scoped Bookmarks ซึ่งเป็นฟีเจอร์ที่เปิดช่องให้แอปพลิเคชันต่าง ๆ ที่อยู่ใน Sandbox สามารถเข้าถึงไฟล์ของผู้ใช้งานที่ถูกกำหนดไว้ได้ ซึ่งไอเทมบน Bookmarks เหล่านี้ตามปกติจะถูกปกป้องด้วยระบบเข้ารหัส HMAC-SHA256 พร้อมด้วยคีย์เฉพาะของแต่ละแอปพลิเคชันในรูปแบบ HMAC-SHA256(secret, [bundle-id]) ซึ่งช่องโหว่นี้จะเป็นการอาศัยประโยชน์จากระบบป้องกันการเข้าถึง Keychain ที่โดยปกติแล้วระบบของ Apple จะจำกัดการเข้าถึงไอเทมต่าง ๆ ของระบบ Keychain ที่อยู่ใน com.apple.scopedbookmarksagent.xpc ด้วยการใช้ระบบกลั่นกรองการเข้าถึงที่มีชื่อว่า Access Control Lists (ACL) แต่ทั้งนี้ระบบป้องกันดังกล่าวที่กล่าวมานั้น กลับไม่ได้ป้องกันการลบหรือสับเปลี่ยนไอเทมบน Keychain แต่อย่างใด

ภาพจาก : https://cybersecuritynews.com/macos-sandbox-escape-vulnerability/

ทีมวิจัยยังได้อธิบายต่ออีกว่า ด้วยช่องโหว่ที่กล่าวมานี้ ทำให้มัลแวร์ที่แทรกตัวเข้าไปใน Sandbox สามารถเข้าถึง และลบกุญแจต่าง ๆ ที่อยู่ใน ScopedBookmarkAgent ได้ ซึ่งหลังจากที่แฮกเกอร์ใช้มัลแวร์ลบคีย์เรียบร้อยแล้ว แฮกเกอร์ก็จะทำการแทรกคีย์ใหม่เข้าไปพร้อมเพิ่มรายชื่อของตัวคีย์เข้าไปใน ACL เพื่อให้สามารถเข้าถึงระบบได้อย่างกว้างขวางมากยิ่งขึ้น นอกจากนั้นแฮกเกอร์ยังสามารถที่จะปฏิบัติการตามนี้ได้อีกด้วย

• คาดเดา Signing Key ของแต่ละแอปพลิเคชันจาก Bundle ID
• สร้าง Bookmarks ให้กับไฟล์มัลแวร์ใดก็ได้ เพื่อให้มัลแวร์เข้าถึงไฟล์ต่าง ๆ ด้วยจุดอ่อนที่กล่าวมาข้างต้น
• ยิง Bookmarks ที่ถูกสร้างขึ้นมาเป็นพิเศษเพื่อใช้ในกิจกรรมทางอาชญากรรมไซเบอร์ ลงไปบนไฟล์ securebookmarks.plist
  

สำหรับผลิตภัณฑ์ของ Apple ที่ได้รับผลกระทบจากช่องโหว่ดังกล่าวนั้น มีดังนี้

• macOS Ventura 13.7.5
• tvOS 18.4
• iOS 18.4
• iPadOS 18.4
• macOS Sequoia 15.4
• macOS Sonoma 14.7.5

โดยทาง Apple ได้ออกมาแจ้งเตือนให้ผู้ใช้งานระบบปฏิบัติการรุ่นที่ได้รับผลกระทบ อัปเดตขึ้นเป็นรุ่นล่าสุดในทันทีเพื่อปิดช่องโหว่ดังกล่าว และทางไมโครซอฟท์ก็ได้ออกมาแจ้งว่าแอปพลิเคชัน Microsoft Defender for Endpoint นั้นสามารถที่จะช่วยตรวจจับกิจกรรมผิดปกติที่เกิดขึ้นในส่วนของ Keychain ได้เช่นเดียวกัน ดังนั้นการนำมาติดตั้งอาจช่วยให้ตัวระบบนั้นมีความปลอดภัยมากยิ่งขึ้นสำหรับผู้ใช้งานในระดับองค์กร

➤ Website : https://www.thaiware.com
➤ Facebook : https://www.facebook.com/thaiware
➤ Twitter : https://www.twitter.com/thaiware
➤ YouTube : https://www.youtube.com/thaiwaretv