Shrootless, ou CVE-2021-30892, é um novo, Vulnerabilidade no nível do sistema operacional que pode permitir que os agentes da ameaça contornem as restrições de segurança, conhecido como Proteção de Integridade do Sistema (trago), no macOS para assumir o controle do dispositivo. Uma vez feito isso, hackers podem realizar várias operações arbitrárias sem serem detectados por soluções de segurança. Detalhes sobre a vulnerabilidade foram divulgados pela Microsoft.
CVE-2021-30892: “Shrootless” Vulnerabilidade do macOS que ignora o SIP
O que é proteção de integridade do sistema? SIP é um recurso de segurança no macOS, projetado para impedir que usuários root realizem operações que possam comprometer a integridade do sistema. A Microsoft disse que descobriu a falha do SIP “ao avaliar os processos autorizados a contornar as proteções SIP”.
É assim que a equipe descobriu que a vulnerabilidade decorre da maneira como os pacotes assinados pela Apple com scripts de pós-instalação são instalados. Um ator de ameaça pode criar um arquivo específico para sequestrar o processo de instalação, contornar as restrições, e instalar um driver de kernel ou rootkit malicioso. Se isso for alcançado, o invasor também pode sobrescrever arquivos de sistema e instalar malware persistente, entre outros perigos decorrentes da vulnerabilidade.
“Esta vulnerabilidade no nível do sistema operacional e outras que inevitavelmente serão descobertas aumentam o número crescente de vetores de ataque possíveis para os invasores explorarem. À medida que as redes se tornam cada vez mais heterogêneas, o número de ameaças que tentam comprometer dispositivos não Windows também aumenta,”Microsoft 365 Equipe de pesquisa do defensor apontada.
Como funciona a vulnerabilidade CVE-2021-30892?
A Microsoft avaliou a tecnologia SIP, e descobriu um daemon de instalação de software conhecido como “system_instald”. O daemon permite que os processos filhos ignorem o SIP. O que isto significa? Quando um pacote assinado pela Apple é instalado no dispositivo, ele invoca o daemon system_installd, que executa qualquer script de pós-instalação contido no pacote invocando um shell padrão:
Ao avaliar os processos do macOS com direito a ignorar as proteções SIP, encontramos o daemon system_installd, que tem o poderoso direito com.apple.rootless.install.inheritable. Com este direito, qualquer processo filho de system_installd seria capaz de contornar as restrições do sistema de arquivos SIP completamente.
A equipe também examinou todos os processos filhos de system_installd, e descobri alguns casos que podem permitir que invasores abusem de sua funcionalidade e contornem o SIP:
Por exemplo, ao instalar um pacote assinado pela Apple (.arquivo pkg), o referido pacote invoca system_installd, que então se encarrega de instalar o antigo. Se o pacote contém algum script de pós-instalação, system_installd os executa invocando um shell padrão, que é zsh no macOS. Curiosamente, quando zsh começa, procura o arquivo / etc / zshenv, e - se encontrado - executa comandos desse arquivo automaticamente, mesmo no modo não interativo. Portanto, para que os invasores realizem operações arbitrárias no dispositivo, um caminho totalmente confiável que eles poderiam seguir seria criar um arquivo / etc / zshenv malicioso e então esperar que o system_installd invoque o zsh.
Uma prova de conceito para a vulnerabilidade Shrootless está disponível.
A equipe compartilhou suas descobertas para a Apple por meio de divulgação coordenada de vulnerabilidade (CVD) via pesquisa de vulnerabilidade de segurança da Microsoft (MSVR).
Em setembro, A Apple lançou atualizações para três falhas de dia zero exploradas na natureza.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: