Skudløst, eller CVE-2021-30892, er en ny, Sårbarhed på OS-niveau, der kan give trusselsaktører mulighed for at omgå sikkerhedsrestriktioner, kendt som System Integrity Protection (nippe til), i macOS for at overtage enheden. Når dette er gjort, hackere kunne udføre forskellige vilkårlige operationer uden at blive opdaget af sikkerhedsløsninger. Detaljer om sårbarheden blev afsløret af Microsoft.
CVE-2021-30892: “Skudløst” macOS-sårbarhed, der omgår SIP
Hvad er System Integrity Protection? SIP er en sikkerhedsfunktion i macOS, designet til at begrænse root-brugere i at udføre operationer, der kan kompromittere systemets integritet. Microsoft sagde, at de opdagede SIP-fejlen "mens de vurderede processer, der er berettiget til at omgå SIP-beskyttelse."
Dette er, hvordan holdet opdagede, at sårbarheden stammer fra den måde, Apple-signerede pakker med efterinstallationsscripts bliver installeret. En trusselaktør kunne oprette en specifik fil for at kapre installationsprocessen, omgå restriktionerne, og installer en ondsindet kernedriver eller rootkit. Hvis dette opnås, angriberen kan også overskrive systemfiler og installere vedvarende malware, blandt andre farer som følge af sårbarheden.
"Denne sårbarhed på OS-niveau og andre, der uundgåeligt vil blive afsløret, tilføjer det voksende antal mulige angrebsvektorer, som angribere kan udnytte. Efterhånden som netværk bliver mere og mere heterogene, antallet af trusler, der forsøger at kompromittere ikke-Windows-enheder, stiger også,"Microsoft 365 Defender Research Team påpegede.
Hvordan fungerer CVE-2021-30892 sårbarheden?
Microsoft vurderede SIP-teknologien, og opdagede en softwareinstallationsdæmon kendt som "system_instald". Dæmonen gør det muligt for underordnede processer at omgå SIP. Hvad betyder det? Når en Apple-signeret pakke er installeret på enheden, den påkalder system_installd-dæmonen, som udfører alle post-install scripts indeholdt i pakken ved at kalde en standard shell:
Under vurdering af macOS-processer, der er berettiget til at omgå SIP-beskyttelse, vi stødte på dæmonen system_installd, som har den kraftfulde com.apple.rootless.install.inheritable ret. Med denne ret, enhver underordnet proces af system_installd ville være i stand til at omgå SIP-filsystembegrænsninger helt.
Holdet undersøgte også alle underordnede processer af system_installd, og opdagede nogle få tilfælde, der kunne tillade angribere at misbruge dens funktionalitet og omgå SIP:
For eksempel, når du installerer en Apple-signeret pakke (.pkg fil), den nævnte pakke kalder system_installd, som så tager sig af installationen af førstnævnte. Hvis pakken indeholder efterinstallationsscripts, system_installd kører dem ved at påkalde en standard shell, som er zsh på macOS. Interessant, når zsh starter, den leder efter filen /etc/zshenv, og - hvis fundet - kører kommandoer fra den fil automatisk, selv i ikke-interaktiv tilstand. Derfor, for angribere til at udføre vilkårlige handlinger på enheden, en fuldstændig pålidelig sti, de kunne tage, ville være at oprette en ondsindet /etc/zshenv-fil og derefter vente på, at system_installd påkalder zsh.
Et proof-of-concept for Shrootless-sårbarheden er tilgængelig.
Holdet delte deres resultater til Apple gennem Coordinated Vulnerability Disclosure (CVD) via Microsoft Security Vulnerability Research (MSVR).
I september, Apple udgav opdateringer til tre zero-day fejl udnyttet i naturen.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: