Microsoft обнаружила ошибку обхода корневых ограничений SIP в macOS

Microsoft обнаружила ошибку обхода корневых ограничений SIP в macOS. Фото: СС0

Уязвимость, получившая название Migraine, была обнаружена группой исследователей безопасности Microsoft. Она получила код CVE-2023-32369.

Команда Apple исправила уязвимость в обновлениях безопасности для macOS Ventura 13.4 , macOS Monterey 12.6.6 и macOS Big Sur 11.7.7, выпущенных 18 мая.

Защита целостности системы (SIP), также известная как «без root», представляет собой механизм безопасности macOS, который предотвращает изменение определенных папок и файлов потенциально вредоносным программным обеспечением путем наложения ограничений на учетную запись пользователя root и ее возможности в защищенных областях операционной системы.

SIP работает по принципу, согласно которому только процессы, подписанные Apple, или процессы, обладающие особыми правами, такие как обновления программного обеспечения и установщики Apple, могут изменять компоненты, защищенные macOS.

Также важно отметить, что нет способа отключить SIP без перезагрузки системы и загрузки macOS Recovery (встроенной системы восстановления), что требует физического доступа к уже скомпрометированному устройству.

Однако исследователи Microsoft обнаружили, что злоумышленники с правами суперпользователя могут обойти обеспечение безопасности SIP, воспользовавшись утилитой macOS Migration Assistant.

Исследователи продемонстрировали, что злоумышленники с root-правами могут автоматизировать процесс миграции с помощью AppleScript и запускать вредоносную полезную нагрузку после добавления ее в список исключений SIP без перезагрузки системы и загрузки из macOS Recovery.

Из сообщения команды Microsoft Threat Intelligence:

«Сосредоточив внимание на системных процессах, подписанных Apple и имеющих право com.apple.rootless.install.heritable, мы обнаружили два дочерних процесса, которые можно было подделать, чтобы получить выполнение произвольного кода в контексте безопасности, который обходит проверки SIP».

Произвольные обходы SIP сопряжены со значительными рисками, особенно когда их используют создатели вредоносных программ. Они позволяют создание защищенного SIP вредоносного ПО, которое нельзя удалить стандартными методами удаления.

Они также значительно расширяют поверхность атаки и могут позволить злоумышленникам вмешиваться в целостность системы путем выполнения произвольного кода ядра и потенциально устанавливать руткиты, чтобы скрыть вредоносные процессы и файлы от программного обеспечения безопасности.

Обход защиты SIP также позволяет полностью игнорировать политики прозрачности, согласия и контроля (TCC), позволяя злоумышленникам заменить базы данных TCC и получить неограниченный доступ к личным данным жертвы.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

• Злоумышленники отправляют зашифрованные вложения RPMSG из краденных учёток Microsoft 365 для фишинга. 
• Google Chat позволит жаловаться на неприемлемые сообщения. 
• Данные миллионов пользователей попали в сеть из бесплатной VPN.