senza radice, o CVE-2021-30892, è una nuova, Vulnerabilità a livello di sistema operativo che potrebbe consentire agli attori delle minacce di eludere le restrizioni di sicurezza, nota come protezione dell'integrità del sistema (SORSO), in macOS per assumere il controllo del dispositivo. Una volta fatto questo, gli hacker potrebbero eseguire varie operazioni arbitrarie senza essere rilevati dalle soluzioni di sicurezza. I dettagli sulla vulnerabilità sono stati divulgati da Microsoft.
CVE-2021-30892: “senza radice” Vulnerabilità macOS che bypassa SIP
Che cos'è la protezione dell'integrità del sistema?? SIP è una funzionalità di sicurezza in macOS, progettato per impedire agli utenti root di eseguire operazioni che potrebbero compromettere l'integrità del sistema. Microsoft ha affermato di aver scoperto il difetto SIP "durante la valutazione dei processi autorizzati a bypassare le protezioni SIP".
Ecco come il team ha scoperto che la vulnerabilità deriva dal modo in cui vengono installati i pacchetti firmati da Apple con script post-installazione. А l'attore delle minacce potrebbe creare un file specifico per dirottare il processo di installazione, aggirare le restrizioni, e installa un driver del kernel dannoso o un rootkit. Se questo è raggiunto, l'attaccante potrebbe anche sovrascrivere i file di sistema e installare malware persistente, tra gli altri pericoli derivanti dalla vulnerabilità.
"Questa vulnerabilità a livello di sistema operativo e altre che verranno inevitabilmente scoperte si aggiungono al numero crescente di possibili vettori di attacco che gli aggressori possono sfruttare. Poiché le reti diventano sempre più eterogenee, aumenta anche il numero di minacce che tentano di compromettere dispositivi non Windows,"Microsoft 365 Il team di ricerca Defender ha sottolineato.
Come funziona la vulnerabilità CVE-2021-30892??
Microsoft ha valutato la tecnologia SIP, e ha scoperto un demone di installazione del software noto come "system_instald". Il demone consente ai processi figlio di bypassare SIP. Che cosa significa questo? Quando sul dispositivo è installato un pacchetto firmato da Apple, invoca il demone system_installd, che esegue qualsiasi script post-installazione contenuto nel pacchetto invocando una shell predefinita:
Durante la valutazione dei processi macOS autorizzati a bypassare le protezioni SIP, ci siamo imbattuti nel demone system_installd, che ha il potente diritto com.apple.rootless.install.inheritable. Con questo diritto, qualsiasi processo figlio di system_installd sarebbe in grado di ignorare del tutto le restrizioni del filesystem SIP.
Il team ha anche esaminato tutti i processi figlio di system_installd, e ha scoperto alcuni casi che potrebbero consentire agli aggressori di abusare della sua funzionalità e bypassare SIP:
Per esempio, durante l'installazione di un pacchetto firmato da Apple (.pkg file), il suddetto pacchetto invoca system_installd, che poi si occupa dell'installazione del primo. Se il pacchetto contiene script post-installazione, system_installd li esegue invocando una shell predefinita, che è zsh su macOS. È interessante notare che, quando inizia zsh, cerca il file /etc/zshenv, e, se trovato, esegue automaticamente i comandi da quel file, anche in modalità non interattiva. Pertanto, per consentire agli aggressori di eseguire operazioni arbitrarie sul dispositivo, un percorso completamente affidabile che potrebbero intraprendere sarebbe quello di creare un file /etc/zshenv dannoso e quindi attendere che system_installd invochi zsh.
È disponibile un proof-of-concept per la vulnerabilità Shrootless.
La squadra ha condiviso le loro scoperte ad Apple tramite la divulgazione coordinata delle vulnerabilità (CVD) tramite Microsoft Security Vulnerability Research (MSVR).
Nel mese di settembre, Apple ha rilasciato aggiornamenti per tre difetti zero-day sfruttati allo stato brado.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: