Η Microsoft εντοπίζει σφάλμα macOS που επιτρέπει στους χάκερ να παρακάμπτουν τους περιορισμούς ρίζας SIP
Related Posts
Η Apple αντιμετώπισε πρόσφατα μια ευπάθεια που επιτρέπει σε εισβολείς με δικαιώματα root να παρακάμπτουν την Προστασία Ακεραιότητας Συστήματος (SIP) για να εγκαταστήσουν “μη διαγράψιμο” κακόβουλο λογισμικό και να αποκτήσουν πρόσβαση στα ιδιωτικά δεδομένα του θύματος παρακάμπτοντας τους ελέγχους ασφαλείας διαφάνειας, συναίνεσης και ελέγχου (TCC).
Ανακαλύφθηκε και
έχουν αναφερθεί
στην Apple από μια ομάδα ερευνητών ασφαλείας της Microsoft, το ελάττωμα (μεταγλ
Ημικρανία
) παρακολουθείται τώρα ως
CVE-2023-32369
.
Η Apple έχει διορθώσει την ευπάθεια στις ενημερώσεις ασφαλείας για
macOS Ventura 13.4
,
macOS Monterey 12.6.6
και
macOS Big Sur 11.7.7
που κυκλοφόρησε πριν από δύο εβδομάδες, στις 18 Μαΐου.
Η Προστασία Ακεραιότητας Συστήματος (SIP), γνωστή και ως «χωρίς root», είναι ένας μηχανισμός ασφαλείας macOS που εμποδίζει το δυνητικά κακόβουλο λογισμικό να αλλάξει ορισμένους φακέλους και αρχεία επιβάλλοντας περιορισμούς στον λογαριασμό χρήστη root και στις δυνατότητές του σε προστατευμένες περιοχές του λειτουργικού συστήματος.
Το SIP λειτουργεί βάσει της αρχής ότι μόνο οι διαδικασίες που υπογράφονται από την Apple ή εκείνες που διαθέτουν ειδικά δικαιώματα, όπως ενημερώσεις λογισμικού και προγράμματα εγκατάστασης Apple, θα πρέπει να εξουσιοδοτούνται να τροποποιούν στοιχεία που προστατεύονται από macOS.
Είναι επίσης σημαντικό να σημειωθεί ότι δεν υπάρχει μέθοδος απενεργοποίησης του SIP χωρίς επανεκκίνηση του συστήματος και εκκίνηση του macOS Recovery (το ενσωματωμένο σύστημα ανάκτησης)—το οποίο απαιτεί φυσική πρόσβαση σε μια ήδη παραβιασμένη συσκευή.
Ωστόσο, οι ερευνητές της Microsoft ανακάλυψαν ότι οι εισβολείς με δικαιώματα root θα μπορούσαν να παρακάμψουν την επιβολή της ασφάλειας SIP κάνοντας κατάχρηση του βοηθητικού προγράμματος macOS Migration Assistant, μιας ενσωματωμένης εφαρμογής macOS που χρησιμοποιεί τον δαίμονα του systemmigrationd με δυνατότητες παράκαμψης SIP που προέρχονται από το com.apple.rootless.install. κληρονομικό δικαίωμα.
Οι ερευνητές απέδειξαν ότι οι εισβολείς με δικαιώματα root μπορούσαν να αυτοματοποιήσουν τη διαδικασία μετεγκατάστασης με το AppleScript και να ξεκινήσουν ένα κακόβουλο ωφέλιμο φορτίο αφού το προσθέσουν στη λίστα εξαιρέσεων του SIP χωρίς επανεκκίνηση του συστήματος και εκκίνηση από το macOS Recovery.
“Εστιάζοντας σε διαδικασίες συστήματος που είναι υπογεγραμμένες από την Apple και έχουν το δικαίωμα com.apple.rootless.install.heritable, βρήκαμε δύο θυγατρικές διεργασίες που θα μπορούσαν να παραβιαστούν για να επιτευχθεί αυθαίρετη εκτέλεση κώδικα σε ένα πλαίσιο ασφαλείας που παρακάμπτει τους ελέγχους SIP.” ο
Η ομάδα της Microsoft Threat Intelligence είπε
.
Οι αυθαίρετες παρακάμψεις SIP ενέχουν σημαντικούς κινδύνους, ειδικά όταν εκμεταλλεύονται δημιουργούς κακόβουλου λογισμικού, καθώς επιτρέπουν στον κακόβουλο κώδικα να έχει εκτεταμένα αποτελέσματα, συμπεριλαμβανομένης της δημιουργίας κακόβουλου λογισμικού που προστατεύεται από SIP που δεν μπορεί να αφαιρεθεί με τυπικές μεθόδους διαγραφής.
Επίσης, επεκτείνουν σημαντικά την επιφάνεια επίθεσης και θα μπορούσαν να επιτρέψουν στους εισβολείς να παραβιάσουν την ακεραιότητα του συστήματος μέσω αυθαίρετης εκτέλεσης κώδικα πυρήνα και ενδεχομένως να εγκαταστήσουν rootkits για να κρύψουν κακόβουλες διεργασίες και αρχεία από λογισμικό ασφαλείας.
Η παράκαμψη της προστασίας SIP επιτρέπει επίσης την πλήρη παράκαμψη των πολιτικών Διαφάνειας, Συναίνεσης και Ελέγχου (TCC), επιτρέποντας στους παράγοντες απειλών να αντικαταστήσουν τις βάσεις δεδομένων TCC και να αποκτήσουν απεριόριστη πρόσβαση στα ιδιωτικά δεδομένα του θύματος.
Αυτή δεν είναι η πρώτη τέτοια ευπάθεια macOS που αναφέρθηκε από ερευνητές της Microsoft τα τελευταία χρόνια, με μια άλλη παράκαμψη SIP με την ονομασία Shrootless που αναφέρθηκε το 2021, επιτρέποντας στους εισβολείς να εκτελούν αυθαίρετες λειτουργίες σε παραβιασμένους Mac, να κλιμακώσουν τα δικαιώματα στο root και ενδεχομένως να εγκαταστήσουν rootkits σε ευάλωτες συσκευές.
Πιο πρόσφατα, ο κύριος ερευνητής ασφαλείας της Microsoft, Jonathan Bar Or, βρήκε επίσης ένα ελάττωμα ασφαλείας γνωστό ως Achilles, το οποίο οι εισβολείς θα μπορούσαν να εκμεταλλευτούν για να αναπτύξουν κακόβουλο λογισμικό μέσω μη αξιόπιστων εφαρμογών που μπορούν να παρακάμψουν τους περιορισμούς εκτέλεσης του Gatekeeper.
Ανακάλυψε επίσης το powerdir, ένα άλλο σφάλμα ασφαλείας του macOS που μπορεί να επιτρέψει στους εισβολείς να παρακάμψουν την τεχνολογία Transparency, Consent and Control (TCC) για να αποκτήσουν πρόσβαση στα προστατευμένα δεδομένα των χρηστών.
