Zuhause > Cyber ​​Aktuelles > CVE-2021-30892: macOS-Sicherheitslücke, die SIP-Schutz umgeht
CYBER NEWS

CVE-2021-30892: macOS-Sicherheitslücke, die SIP-Schutz umgeht

CVE-2021-30892: macOS-Sicherheitslücke umgeht den Schutz der Systemintegrität
Shrootless, oder CVE-2021-30892, ist ein neuer, Sicherheitslücke auf Betriebssystemebene, die es Bedrohungsakteuren ermöglichen könnte, Sicherheitsbeschränkungen zu umgehen, bekannt als Systemintegritätsschutz (SCHLUCK), in macOS, um das Gerät zu übernehmen. Sobald dies geschehen ist, Hacker könnten verschiedene willkürliche Operationen ausführen, ohne von Sicherheitslösungen entdeckt zu werden. Details zu der Sicherheitsanfälligkeit wurden von Microsoft bekannt gegeben.




CVE-2021-30892: “Shrootless” macOS-Sicherheitslücke, die SIP umgeht

Was ist Systemintegritätsschutz?? SIP ist eine Sicherheitsfunktion in macOS, entwickelt, um Root-Benutzer daran zu hindern, Operationen auszuführen, die die Systemintegrität beeinträchtigen könnten. Microsoft gab an, den SIP-Fehler entdeckt zu haben, „während der Bewertung von Prozessen, die berechtigt sind, den SIP-Schutz zu umgehen“.

So entdeckte das Team, dass die Schwachstelle auf die Art und Weise zurückzuführen ist, wie von Apple signierte Pakete mit Post-Install-Skripten installiert werden. А Bedrohungsakteur könnte eine bestimmte Datei erstellen, um den Installationsprozess zu kapern, die Beschränkungen umgehen, und installieren Sie einen bösartigen Kernel-Treiber oder ein Rootkit. Wenn dies erreicht ist, der Angreifer könnte auch Systemdateien überschreiben und persistente Malware installieren, neben anderen Gefahren, die sich aus der Verwundbarkeit ergeben.

„Diese Sicherheitslücke auf Betriebssystemebene und andere, die unweigerlich aufgedeckt werden, tragen zu der wachsenden Zahl möglicher Angriffsvektoren bei, die Angreifer ausnutzen können.“. Da Netzwerke immer heterogener werden, die Anzahl der Bedrohungen, die versuchen, Nicht-Windows-Geräte zu kompromittieren, steigt ebenfalls,„Microsoft 365 Das Defender-Forschungsteam wies darauf hin.

Wie funktioniert die Sicherheitslücke CVE-2021-30892??

Microsoft hat die SIP-Technologie bewertet, und entdeckte einen Softwareinstallations-Daemon namens „system_instald“. Der Daemon ermöglicht es untergeordneten Prozessen, SIP . zu umgehen. Was bedeutet das? Wenn ein von Apple signiertes Paket auf dem Gerät installiert ist, es ruft den system_installd-Daemon auf, das alle im Paket enthaltenen Post-Installations-Skripte ausführt, indem es eine Standard-Shell aufruft:

Bei der Bewertung von macOS-Prozessen, die berechtigt sind, den SIP-Schutz zu umgehen, Wir stießen auf den Daemon system_installd, die die mächtige Berechtigung com.apple.rootless.install.inheritable hat. Mit dieser Berechtigung, Jeder untergeordnete Prozess von system_installd könnte die Einschränkungen des SIP-Dateisystems vollständig umgehen.

Das Team untersuchte auch alle untergeordneten Prozesse von system_installd, und entdeckte einige Fälle, die es Angreifern ermöglichen könnten, seine Funktionalität zu missbrauchen und SIP zu umgehen:

Beispielsweise, bei der Installation eines von Apple signierten Pakets (.pkg-Datei), das besagte Paket ruft system_installd auf, die dann die Installation des ersteren übernimmt. Wenn das Paket Post-Install-Skripte enthält, system_installd führt sie aus, indem es eine Standard-Shell aufruft, das ist zsh auf macOS. Interessant, wenn zsh beginnt, es sucht nach der Datei /etc/zshenv, und – falls gefunden – führt automatisch Befehle aus dieser Datei aus, auch im nicht interaktiven Modus. Deshalb, damit Angreifer beliebige Operationen auf dem Gerät ausführen können, ein absolut zuverlässiger Weg wäre, eine bösartige /etc/zshenv-Datei zu erstellen und dann zu warten, bis system_installd zsh . aufruft.

Ein Machbarkeitsnachweis für die Shrootless-Schwachstelle ist verfügbar.

Das Team teilte ihre Erkenntnisse an Apple durch koordinierte Offenlegung von Sicherheitslücken (CVD) über Microsoft Security Vulnerability Research (MSVR).




Im September, Apple hat Updates für . veröffentlicht drei Zero-Day-Fehler in freier Wildbahn ausgenutzt.

Milena Dimitrova

Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim

Mehr Beiträge

Folge mir:
Zwitschern

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Diese Website verwendet Cookies, um die Benutzererfahrung zu verbessern. Durch die Nutzung unserer Website erklären Sie sich mit allen Cookies gemäß unserer Datenschutz-Bestimmungen.
Genau