Shrootless, ou CVE-2021-30892, est une nouvelle, Vulnérabilité au niveau du système d'exploitation qui pourrait permettre aux acteurs malveillants de contourner les restrictions de sécurité, connu sous le nom de protection de l'intégrité du système (siroter), dans macOS pour prendre en charge l'appareil. Une fois cela fait, les pirates pourraient effectuer diverses opérations arbitraires sans être détectés par les solutions de sécurité. Des détails sur la vulnérabilité ont été divulgués par Microsoft.
CVE-2021-30892: “Shrootless” Vulnérabilité macOS qui contourne SIP
Qu'est-ce que la protection de l'intégrité du système? SIP est une fonctionnalité de sécurité dans macOS, conçu pour empêcher les utilisateurs root d'effectuer des opérations qui pourraient compromettre l'intégrité du système. Microsoft a déclaré avoir découvert la faille SIP « lors de l'évaluation des processus autorisés à contourner les protections SIP ».
C'est ainsi que l'équipe a découvert que la vulnérabilité provenait de la façon dont les packages signés par Apple avec des scripts de post-installation sont installés. l'acteur de la menace pourrait créer un fichier spécifique pour détourner le processus d'installation, contourner les restrictions, et installez un pilote de noyau ou un rootkit malveillant. Si cela est atteint, l'attaquant pourrait également écraser les fichiers système et installer des logiciels malveillants persistants, entre autres dangers découlant de la vulnérabilité.
"Cette vulnérabilité au niveau du système d'exploitation et d'autres qui seront inévitablement découvertes s'ajoutent au nombre croissant de vecteurs d'attaque possibles que les attaquants peuvent exploiter. Alors que les réseaux deviennent de plus en plus hétérogènes, le nombre de menaces qui tentent de compromettre les appareils non Windows augmente également," Microsoft 365 L'équipe de recherche sur les défenseurs a souligné.
Comment fonctionne la vulnérabilité CVE-2021-30892?
Microsoft a évalué la technologie SIP, et découvert un démon d'installation de logiciel connu sous le nom de « system_instald ». Le démon permet aux processus enfants de contourner SIP. Qu'est-ce que cela signifie? Lorsqu'un package signé Apple est installé sur l'appareil, il appelle le démon system_installd, qui exécute tous les scripts de post-installation contenus dans le package en appelant un shell par défaut:
Lors de l'évaluation des processus macOS autorisés à contourner les protections SIP, nous sommes tombés sur le démon system_installd, qui possède le puissant droit com.apple.rootless.install.inheritable. Avec ce droit, tout processus enfant de system_installd serait capable de contourner complètement les restrictions du système de fichiers SIP.
L'équipe a également examiné tous les processus enfants de system_installd, et découvert quelques cas qui pourraient permettre aux attaquants d'abuser de ses fonctionnalités et de contourner SIP:
Par exemple, lors de l'installation d'un package signé Apple (.fichier paquet), ledit package invoque system_installd, qui se charge ensuite d'installer l'ancien. Si le package contient des scripts de post-installation, system_installd les exécute en appelant un shell par défaut, qui est zsh sur macOS. Intéressant, quand zsh démarre, il recherche le fichier /etc/zshenv, et, s'il est trouvé, exécute automatiquement les commandes de ce fichier, même en mode non interactif. Donc, pour les attaquants d'effectuer des opérations arbitraires sur l'appareil, un chemin entièrement fiable qu'ils pourraient emprunter serait de créer un fichier /etc/zshenv malveillant, puis d'attendre que system_installd invoque zsh.
Une preuve de concept pour la vulnérabilité Shrootless est disponible.
L'équipe a partagé leurs découvertes à Apple via la divulgation coordonnée des vulnérabilités (CVD) via Microsoft Security Vulnerability Research (MSVR).
En Septembre, Apple a publié des mises à jour pour trois failles zero-day exploitées à l'état sauvage.