Переход на macOS Ventura обрушил защитный софт реального времени

Переход на macOS Ventura обрушил защитный софт реального времени

Переход на macOS Ventura обрушил защитный софт реального времени

После установки macOS Ventura пользователи обнаружили, что режим реального времени в ИБ-продуктах отвалился и попытки включить его безуспешны. Как оказалось, виной тому уязвимость в самой ОС, от которой Apple никак не удается избавиться.

Вендор выпустил macOS Ventura полторы недели назад — в виде обновления с внушительным набором патчей. Вскоре после этого в Malwarebytes стали поступать жалобы на отказ защитного софта — он запрашивал полный доступ к дискам, тогда как в настройках FDA (Full Disk Access) был включен.

Такие же проблемы возникли у коллег по цеху, и стало очевидно, что повальный сбой сторонней защиты вызвало обновление macOS. Похоже было, что в TCC (Transparency, Consent and Control,система защиты конфиденциальности данных) завелся какой-то баг.

Согласно требованиям Apple, ИБ-продукты, использующие ее фреймворк Endpoint Security, должны получить TCC-разрешение на доступ высокого уровня — FDA. Чтобы соблюсти это условие помогают подсказки для пользователя, которому придется зайти в системные настройки и отыскать нужный софт в списке FDA.

 

У пользователей, установивших macOS Ventura, для отказавшей защиты в настройках был выставлен FDA, но на самом деле разрешение не работало. Попытки сброса с последующим включением терпели неудачу: движок не менял положения.

На настоящий момент с большой долей вероятности удалось установить причину. В файл TCC.db (хранит все разрешения, выданные разным приложениям) была добавлена новая запись для клиентов Endpoint Security, и возник конфликт с предыдущей записью.

По всей видимости, Apple попыталась таким образом добить непокорную уязвимость в macOS, найденную Чабой Фицлем (Csaba Fitzl). Проблема позволяет одной командой (tccutil reset All) отозвать FDA у всех установленных ИБ-клиентов и, таким образом, деактивировать защиту в реальном времени.

Разработчики уже несколько раз создавали патчи, но Фитцль все равно находил способы обхода. Проверить на прочность новую заплатку он не успел, а решение оказалось сырым и вернуло исходную проблему. Более того, у защитного софта появились новые разрешения, которые ему не нужны: мониторинг клавиатурного ввода, снимки экрана и аудиозапись, спецвозможности (Accessibility), инструменты разработчика. Для пользователей это будет сюрпризом, а для потенциально опасных программ (PUP) — большой удачей; некоторые из них получили права доступа к фреймворку Endpoint Security.

Компания Apple уже в курсе проблем со сторонней защитой Ventura и обещает решить их в релизе 13.1, который сейчас проходит бета-тестирование. Эксперты Malwarebytes пока советуют сделать следующее:

  1. Зайти в системные настройки, открыть раздел «Безопасность и конфиденциальность», открыть FDA.
  2. Выбрать защитный софт в списке.
  3. Нажать кнопку «-» для сброса разрешения.
  4. Попытаться включить защиту реального времени в своем ИБ-продукте.
  5. В случае успеха он вернется в FDA-список; переключением разрешить FDA.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Более трети россиян готовы к аутентификации без паролей

Согласно совместному исследованию «Лаборатории Касперского», Почты Mail и Hi-Tech Mail, свыше трети россиян готовы отказаться от привычных паролей в пользу альтернативных способов авторизации, таких как биометрия или одноразовые коды.

В опросе приняли участие 1950 пользователей сервисов VK по всей стране.

Полностью перейти на беспарольные методы аутентификации готовы 16% респондентов, а еще 12% считают возможным использовать их для важных сервисов. При этом 9% опрошенных предпочитают быть осторожнее и готовы отказаться от паролей только при доступе к менее важным ресурсам.

Уже сегодня беспарольными методами пользуется 31% участников исследования, а еще 27% применяют их для защиты наиболее важных аккаунтов — в мессенджерах, электронной почте и онлайн-банкинге.

28% респондентов отмечают удобство и надежность беспарольных решений, однако 19% уверены, что лишь традиционные пароли способны обеспечить достаточную безопасность.

«Переход к беспарольной аутентификации не только значительно усиливает защиту аккаунтов, но и заметно улучшает пользовательский опыт. Людям больше не нужно запоминать множество сложных паролей, а риск их утечки из-за повторного использования на разных платформах существенно снижается. Мы также наблюдаем этот позитивный тренд в наших продуктах», — подчеркнул руководитель команды информационной безопасности Почты и Облака Mail Дмитрий Водяной.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru