Переход на macOS Ventura обрушил защитный софт реального времени

Переход на macOS Ventura обрушил защитный софт реального времени

Переход на macOS Ventura обрушил защитный софт реального времени

После установки macOS Ventura пользователи обнаружили, что режим реального времени в ИБ-продуктах отвалился и попытки включить его безуспешны. Как оказалось, виной тому уязвимость в самой ОС, от которой Apple никак не удается избавиться.

Вендор выпустил macOS Ventura полторы недели назад — в виде обновления с внушительным набором патчей. Вскоре после этого в Malwarebytes стали поступать жалобы на отказ защитного софта — он запрашивал полный доступ к дискам, тогда как в настройках FDA (Full Disk Access) был включен.

Такие же проблемы возникли у коллег по цеху, и стало очевидно, что повальный сбой сторонней защиты вызвало обновление macOS. Похоже было, что в TCC (Transparency, Consent and Control,система защиты конфиденциальности данных) завелся какой-то баг.

Согласно требованиям Apple, ИБ-продукты, использующие ее фреймворк Endpoint Security, должны получить TCC-разрешение на доступ высокого уровня — FDA. Чтобы соблюсти это условие помогают подсказки для пользователя, которому придется зайти в системные настройки и отыскать нужный софт в списке FDA.

 

У пользователей, установивших macOS Ventura, для отказавшей защиты в настройках был выставлен FDA, но на самом деле разрешение не работало. Попытки сброса с последующим включением терпели неудачу: движок не менял положения.

На настоящий момент с большой долей вероятности удалось установить причину. В файл TCC.db (хранит все разрешения, выданные разным приложениям) была добавлена новая запись для клиентов Endpoint Security, и возник конфликт с предыдущей записью.

По всей видимости, Apple попыталась таким образом добить непокорную уязвимость в macOS, найденную Чабой Фицлем (Csaba Fitzl). Проблема позволяет одной командой (tccutil reset All) отозвать FDA у всех установленных ИБ-клиентов и, таким образом, деактивировать защиту в реальном времени.

Разработчики уже несколько раз создавали патчи, но Фитцль все равно находил способы обхода. Проверить на прочность новую заплатку он не успел, а решение оказалось сырым и вернуло исходную проблему. Более того, у защитного софта появились новые разрешения, которые ему не нужны: мониторинг клавиатурного ввода, снимки экрана и аудиозапись, спецвозможности (Accessibility), инструменты разработчика. Для пользователей это будет сюрпризом, а для потенциально опасных программ (PUP) — большой удачей; некоторые из них получили права доступа к фреймворку Endpoint Security.

Компания Apple уже в курсе проблем со сторонней защитой Ventura и обещает решить их в релизе 13.1, который сейчас проходит бета-тестирование. Эксперты Malwarebytes пока советуют сделать следующее:

  1. Зайти в системные настройки, открыть раздел «Безопасность и конфиденциальность», открыть FDA.
  2. Выбрать защитный софт в списке.
  3. Нажать кнопку «-» для сброса разрешения.
  4. Попытаться включить защиту реального времени в своем ИБ-продукте.
  5. В случае успеха он вернется в FDA-список; переключением разрешить FDA.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Бестселлер довел экс-сотрудницу Meta* до третейского суда

Чрезвычайный арбитр вынес промежуточное решение по делу о мемуарах Сары Уинн-Уильямс (Sarah Wynn-Williams). Автору разоблачительной книги запрещено продвигать ее до окончательного решения спора, открытого Meta (в России признана экстремистской и запрещена).

Вспоминая свою работу в компании, Уинн-Уильямс рассказывает о долгих и безуспешных попытках Марка Цукерберга проникнуть на китайский рынок любой ценой.

Стремясь предотвратить публикацию, Meta подала ходатайство в Международный центр решения споров, однако рассмотрение затянулось, и книга успела увидеть свет.

Вынося решение о временном запрете, третейский суд принял во внимание представленный заявителем аргумент: бывшая сотрудница компании перед увольнением якобы подписала соглашение о нераспространении негативной информации о своем работодателе.

Издатель (Macmillan), который тоже числится в ответчиках, заявил, что его деятельность находится вне юрисдикции третейского суда. Книга, о которой идет речь, была тщательно отредактирована, все данные проверены (содержимое арбитр даже не упомянул), и издательство намерено и далее ее рекламировать и распространять.

Вышедшие неделю назад мемуары Уинн-Уильямс по-прежнему в продаже и даже выиграли от попыток скрыть факты, о которых Meta предпочла бы умолчать. На Amazon книга «Careless People: A Cautionary Tale of Power, Greed, and Lost Idealism» получила пять звезд и по состоянию на 17 марта занимает четвертую позицию в рейтинге бестселлеров.

Автор подвергла резкой критике не только усилия и планы Meta в отношении Китая, но также взаимоотношения сотрудников. Представитель компании постарался публично опровергнуть обнародованные факты, заявив, что Уинн-Уильямс якобы была уволена за плохую работу и недостойное поведение.

Ее выпады против руководства необоснованны, а намерение выйти на китайский рынок Meta никогда не скрывала. Однако в итоге ей пришлось отказаться от этой затеи, о чем Цукерберг и заявил во всеуслышание в 2019 году.

В заявлении также прозвучало утверждение, будто справедливо уволенная сотрудница стала получать плату от активистов за клевету, и публикация ее мемуаров — очередной шаг, нацеленный на подрыв авторитета уважаемой компании.

*в России признана экстремистской и запрещена

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru