Microsoft: ошибка Shrootless позволяет хакерам устанавливать руткиты macOS

Злоумышленники могут использовать новую уязвимость macOS, обнаруженную Microsoft, для обхода защиты целостности системы (SIP) и выполнения произвольных операций, повышения привилегий до root и установки руткитов на уязвимые устройства.

Microsoft: ошибка Shrootless позволяет хакерам устанавливать руткиты macOS. Фото: Sora Shimazaki, Pexels

Исследовательская группа Microsoft 365 Defender сообщила Apple об уязвимости, получившей название Shrootless (теперь отслеживаемой как CVE-2021-30892 ), найденной в результате исследования Microsoft Security Vulnerability Research (MSVR).

SIP (также известный как rootless) — это технология безопасности macOS, которая блокирует изменение защищенных папок и файлов с потенциально вредоносным программным обеспечением, ограничивая учетную запись пользователя root и ограничивая действия, которые она может выполнять в защищенных частях ОС.

По задумке SIP позволяет изменять эти защищенные части macOS только процессам, подписанным Apple или имеющим особые права (например, обновления программного обеспечения Apple и установщики Apple).

Проблема безопасности Shrootless была обнаружена исследователями Microsoft после того, как они заметили, что system_installd имеет право com.apple.rootless.install.inheritable, которое позволяет любому дочернему процессу полностью обходить ограничения файловой системы SIP.

Джонатан Бар Ор, главный исследователь безопасности в Microsoft:

«Мы обнаружили, что уязвимость заключается в том, как устанавливаются подписанные Apple пакеты со сценариями после установки. Злоумышленник может создать специально созданный файл, который может захватить процесс установки. После обхода ограничений SIP злоумышленник может установить вредоносный драйвер ядра (руткит), перезаписать системные файлы или установить постоянное, необнаруживаемое вредоносное ПО, среди прочего»

Apple выпустила исправление для устранения недостатка безопасности в обновлениях безопасности, выпущенных 26 октября.

Startpack подготовил раздел, в котором представлены инструменты для защиты информации, её безопасной передачи и хранения, а также внутрикорпоративного контроля сотрудников. Защиту от зловредов предоставляют известные антивирусные программы, передачу данных — почтовые программы с функциями шифрования, контроль за сотрудниками — сервисы видеонаблюдения через интернет. В раздел вошли также менеджеры паролей, безопасные облачные хранилища конфидента. Инструменты представлены в виде веб-сервисов, приложений. Их можно развернуть в облаке, на сервере или автономном ПК.

Статьи по теме