Shrootless, o CVE-2021-30892, es un nuevo, Vulnerabilidad a nivel de sistema operativo que podría permitir a los actores de amenazas eludir las restricciones de seguridad, conocido como protección de la integridad del sistema (sorbo), en macOS para hacerse cargo del dispositivo. Una vez hecho esto, Los piratas informáticos podrían realizar varias operaciones arbitrarias sin ser detectados por las soluciones de seguridad.. Los detalles sobre la vulnerabilidad fueron revelados por Microsoft..
CVE-2021-30892: “Shrootless” Vulnerabilidad de macOS que pasa por alto SIP
¿Qué es la protección de la integridad del sistema?? SIP es una función de seguridad en macOS, diseñado para impedir que los usuarios raíz realicen operaciones que puedan comprometer la integridad del sistema. Microsoft dijo que descubrió la falla de SIP "mientras evaluaba los procesos con derecho a eludir las protecciones de SIP".
Así es como el equipo descubrió que la vulnerabilidad se debe a la forma en que se instalan los paquetes firmados por Apple con scripts posteriores a la instalación.. Un actor de amenazas podría crear un archivo específico para secuestrar el proceso de instalación, evitar las restricciones, e instale un controlador de kernel malicioso o rootkit. Si esto se logra, el atacante también podría sobrescribir los archivos del sistema e instalar malware persistente, entre otros peligros derivados de la vulnerabilidad.
“Esta vulnerabilidad a nivel de sistema operativo y otras que inevitablemente se descubrirán se suman al creciente número de posibles vectores de ataque para que los atacantes exploten. A medida que las redes se vuelven cada vez más heterogéneas, La cantidad de amenazas que intentan comprometer dispositivos que no son de Windows también aumenta.,"Microsoft 365 El equipo de investigación del defensor señaló.
¿Cómo funciona la vulnerabilidad CVE-2021-30892??
Microsoft evaluó la tecnología SIP, y descubrió un demonio de instalación de software conocido como "system_instald". El demonio permite que los procesos secundarios omitan SIP. ¿Qué significa este? Cuando se instala un paquete firmado por Apple en el dispositivo, invoca el demonio system_installd, que ejecuta cualquier script posterior a la instalación contenido en el paquete invocando un shell predeterminado:
Al evaluar los procesos de macOS con derecho a eludir las protecciones SIP, nos encontramos con el demonio system_installd, que tiene el poderoso derecho com.apple.rootless.install.inheritable. Con este derecho, cualquier proceso hijo de system_installd podría eludir las restricciones del sistema de archivos SIP por completo.
El equipo también examinó todos los procesos secundarios de system_installd, y descubrió algunos casos que podrían permitir a los atacantes abusar de su funcionalidad y omitir SIP:
Por ejemplo, al instalar un paquete firmado por Apple (.archivo pkg), dicho paquete invoca system_installd, que luego se encarga de instalar el primero. Si el paquete contiene algún script posterior a la instalación, system_installd los ejecuta invocando un shell predeterminado, que es zsh en macOS. Curiosamente, cuando zsh comienza, busca el archivo / etc / zshenv, y, si lo encuentra, ejecuta comandos desde ese archivo automáticamente, incluso en modo no interactivo. Por lo tanto, para que los atacantes realicen operaciones arbitrarias en el dispositivo, una ruta completamente confiable que podrían tomar sería crear un archivo / etc / zshenv malicioso y luego esperar a que system_installd invoque a zsh.
Está disponible una prueba de concepto para la vulnerabilidad Shrootless.
El equipo compartió sus hallazgos a Apple a través de la divulgación coordinada de vulnerabilidades (CVD) a través de Microsoft Security Vulnerability Research (MSVR).
En septiembre, Apple lanzó actualizaciones para tres defectos de día cero explotados en la naturaleza.