Dropbox-onderzoekers vonden per ongeluk 3 zero days in Apple-software

Het red team van Dropbox ontdekte per ongeluk een zero day in software van Apple. Terwijl een van de teams van het bedrijf onderzoek deed naar de manier waarop zijn software reageert op cyberaanvallen, ontdekte het een aantal zero day kwetsbaarheden.

Het Offensive Security red team – een groep specialisten die de taak hebben om het systeem aan te vallen om zo kwetsbaarheden op te sporen – ontdekte binnen de Apple Safari browser een aantal kwetsbaarheden. In een blog omschrijft Chris Evans, securitybaas van Dropbox, hoe dat liep.

Aanval simuleren

Het red team simuleerde met behulp van het bedrijf Syndis een cyberaanval om uit te zoeken of Dropbox makkelijk te hacken was. Tegelijk keek het team hoe snel de aanval ontdekt werd en wat de reactie van het team dat zich met datalekken bezig houdt precies was. Op die manier kon men alle processen binnen Dropbox aan een proef onderwerpen.

“Nieuwe manieren zoeken om in te breken op Dropbox was hierin het plan. Maar zelfs al zouden er geen manieren gevonden worden, dan zouden we alsnog de effecten van een lek simuleren door zelf malware te plaatsen (natuurlijk zouden we dat heel discreet doen en ervoor zorgen dat het detectie- en reactieteam dat niet zou merken)”, schrijft Evans.

Maar terwijl het team zich erop voorbereidde om een datalek te simuleren, kwam men erachter dat dit helemaal niet nodig was. Syndis ontdekte namelijk een uit te buiten reeks zero days in de software van Apple. Door de bugs, die impact hadden op alle macOS-versies voor 10.13.4, konden aanvallers code uitvoeren op het systeem van het slachtoffer, door simpelweg een malwaredomein te bezoeken.

De kwetsbaarheden

De kwetsbaarheden hadden invloed op alle Safari-gebruikers. De eerste bug, CVE-2017-13890, stond aanvallers toe om Safari te misbruiken om automatisch disk images te downloaden en installeren. CVE-2018-4176 maakt vervolgens gebruik van de disk om een app zonder dat de gebruiker daar toestemming voor geeft te lanceren.

Tot slot is er nog CVE-2018-4175, waarmee nieuwe bestandsformaten geregistreerd konden worden, en apps gelanceerd die als veilig gezien werden. Daardoor konden de onderzoekers malware uitvoeren en ervoor zorgen dat Dropbox gekraakt kon worden. Dat lieten de onderzoekers op 19 februari 2018 aan Apple weten, waarna er op 29 maart een fix werd uitgebracht.