Huis > Cyber ​​Nieuws > CVE-2021-30892: macOS-kwetsbaarheid die SIP-beveiligingen omzeilt
CYBER NEWS

CVE-2021-30892: macOS-kwetsbaarheid die SIP-beveiligingen omzeilt

door   |  Last Update:  |  0 Reacties  

CVE-2021-30892: macOS-kwetsbaarheid omzeilt systeemintegriteitsbescherming
Schrootloos, of CVE-2021-30892, is een nieuw, Kwetsbaarheid op OS-niveau waardoor bedreigingsactoren beveiligingsbeperkingen kunnen omzeilen, bekend als systeemintegriteitsbescherming (SIP), in macOS om het apparaat over te nemen. Zodra dit is gebeurd, hackers kunnen verschillende willekeurige bewerkingen uitvoeren zonder te worden gedetecteerd door beveiligingsoplossingen. Details over het beveiligingslek zijn bekendgemaakt door Microsoft.




CVE-2021-30892: “Schrootloos” macOS-kwetsbaarheid die SIP omzeilt

Wat is systeemintegriteitsbescherming?? SIP is een beveiligingsfunctie in macOS, ontworpen om te voorkomen dat rootgebruikers bewerkingen uitvoeren die de systeemintegriteit in gevaar kunnen brengen. Microsoft zei dat ze de SIP-fout ontdekten "tijdens het beoordelen van processen die het recht hebben om SIP-beveiligingen te omzeilen."

Dit is hoe het team ontdekte dat de kwetsbaarheid voortkomt uit de manier waarop door Apple ondertekende pakketten met post-installatiescripts worden geïnstalleerd. А dreigingsactor kan een specifiek bestand maken om het installatieproces te kapen, omzeil de beperkingen, en installeer een kwaadaardig kernelstuurprogramma of rootkit. Als dit wordt bereikt, de aanvaller kan ook systeembestanden overschrijven en persistente malware installeren, onder andere gevaren die voortvloeien uit de kwetsbaarheid.

“Deze kwetsbaarheid op OS-niveau en andere die onvermijdelijk zullen worden ontdekt, dragen bij aan het groeiende aantal mogelijke aanvalsvectoren die aanvallers kunnen misbruiken.. Naarmate netwerken steeds heterogener worden, het aantal bedreigingen dat probeert om niet-Windows-apparaten te compromitteren, neemt ook toe,"Microsoft" 365 Verdediger onderzoeksteam opgemerkt.

Hoe werkt de kwetsbaarheid CVE-2021-30892??

Microsoft beoordeelde de SIP-technologie, en ontdekte een software-installatiedaemon die bekend staat als "system_instald". De daemon zorgt ervoor dat onderliggende processen SIP kunnen omzeilen. Wat betekent dit? Wanneer een door Apple ondertekend pakket op het apparaat is geïnstalleerd, het roept de system_installd daemon aan, die alle post-installatie scripts in het pakket uitvoert door een standaard shell aan te roepen:

Bij het beoordelen van macOS-processen die recht hebben op het omzeilen van SIP-beveiligingen, we kwamen de daemon system_installd tegen, die het krachtige com.apple.rootless.install.inheritable recht heeft. Met dit recht, elk onderliggend proces van system_installd zou de beperkingen van het SIP-bestandssysteem helemaal kunnen omzeilen.

Het team onderzocht ook alle onderliggende processen van system_installd, en ontdekte een paar gevallen waardoor aanvallers de functionaliteit ervan konden misbruiken en SIP konden omzeilen:

Bijvoorbeeld, bij het installeren van een door Apple ondertekend pakket (.pkg-bestand), het genoemde pakket roept system_installd . aan, die vervolgens de leiding neemt over de installatie van de voormalige. Als het pakket scripts na de installatie bevat, system_installd voert ze uit door een standaard shell aan te roepen, dat is zsh op macOS. belangwekkend, wanneer zsh begint, het zoekt naar het bestand /etc/zshenv, en - indien gevonden - voert automatisch opdrachten uit dat bestand uit, zelfs in niet-interactieve modus. Daarom, voor aanvallers om willekeurige bewerkingen op het apparaat uit te voeren, een volledig betrouwbaar pad dat ze zouden kunnen nemen, zou zijn om een ​​kwaadaardig /etc/zshenv-bestand te maken en vervolgens te wachten tot system_installd zsh aanroept.

Er is een proof-of-concept voor de Shrootless-kwetsbaarheid beschikbaar.

Het team heeft gedeeld hun bevindingen aan Apple via gecoördineerde openbaarmaking van kwetsbaarheden (CVD) via Microsoft Security Vulnerability Research (MSVR).




In september, Apple heeft updates uitgebracht voor drie zero-day fouten die in het wild worden uitgebuit.

Milena Dimitrova

Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Gerelateerde berichten:
  1. Zoek de Daemon Mac Redirect Virus verwijderingsgids Zoek Daemon Geërgerd door het plotselinge, unwanted appearance of Search...
  2. CVE-2022-22639 macOS-beveiligingslek kan leiden tot escalatie van rootrechten CVE-2022-22639 is een recent ontdekte, already patched macOS vulnerability in...
  3. Apple's Zero-Day Bypasses System Integrity Protection in iOS en OS X A zero-day flaw in Apple’s OS X may sound like...
  4. Apple ID Phishing Scam - WAT IS HET + Hoe te verwijderen Dit artikel is gemaakt om uit te leggen aan...
  5. CVE-2021-30665 en CVE-2021-30663 in macOS Big Sur Exploited in the Wild Deze week, Apple addressed a couple of security flaws that...
  6. Patch uw iOS-apparaat tegen CVE-2021-1782, CVE-2021-1870, en CVE-2021-1871 Apple heeft onlangs drie zero-day-kwetsbaarheden in iOS aangepakt, iPadOS. CVE-2021-1782,...
  7. De meest misbruikte kwetsbaarheden in 2021 Inclusief CVE-2021-44228, CVE-2021-26084 Wat waren de meest routinematig misbruikte beveiligingsproblemen in? 2021?...
  8. De meest veilige smartwatches-lijst Dit is een uitgebreide Top 10 lijst die de ...

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Privacybeleid.
Daar ben ik het mee eens