Apple son zamanlarda kök ayrıcalıkları olan saldırganların, sistem bütünlüğü korumasını (SIP) atanan bir güvenlik açığı ele aldı.
Apple'a Microsoft Güvenlik Araştırmacılarından oluşan bir ekip tarafından keşfedilen ve bildirilen kusur (migren olarak adlandırılan) artık CVE-2023-32369 olarak izleniyor.
Apple, MacOS Ventura 13.4, MacOS Monterey 12.6.6 ve MacOS Big 11.7.7 için güvenlik güncellemelerindeki güvenlik açığını iki hafta önce 18 Mayıs'ta yayınladı.
'Köksiz' olarak da bilinen Sistem Bütünlük Koruması (SIP), potansiyel olarak kötü amaçlı yazılımların kök kullanıcı hesabına kısıtlamalar ve işletim sisteminin korunan alanlarındaki yeteneklerini uygulayarak belirli klasörleri ve dosyaları değiştirmesini önleyen bir MACOS güvenlik mekanizmasıdır.
SIP, yalnızca Apple tarafından imzalanan veya Apple yazılım güncellemeleri ve yükleyiciler gibi özel haklara sahip olanların MacOS korumalı bileşenleri değiştirme yetkisine sahip olması prensibi altında çalışır.
Sistemi yeniden başlatmadan ve MacOS kurtarma (yerleşik kurtarma sistemi) önyükleme yapmadan SIP'yi devre dışı bırakmanın bir yöntem olmadığını belirtmek de önemlidir;
Bununla birlikte, Microsoft'un araştırmacıları, kök izinleri olan saldırganların, SystemMigrationd Daemon'u com.apple.rootless.install'dan kaynaklanan SIP-bypassing özelliklerine sahip yerleşik bir macOS uygulamasını kullanan MacOS Geçiş Asistanı yardımcı programını kötüye kullanarak SIP güvenlik uygulamasını atlayabileceğini buldular. kalıtsal yetki.
Araştırmacılar, kök izinleri olan saldırganların, taşıma işlemini Applescript ile otomatikleştirebileceğini ve sistemi yeniden başlatmadan ve macOS kurtarma işleminden önyükleme yapmadan SIP'nin istisnalar listesine ekledikten sonra kötü amaçlı bir yük başlatabileceğini gösterdiler.
"Apple tarafından imzalanan ve com.apple.rootless.install.herstall.herable yetkisine sahip olan sistem süreçlerine odaklanarak, SIP kontrollerini atlayan bir güvenlik bağlamında keyfi kod yürütülmesi için tahrif edilebilecek iki çocuk süreci bulduk." Microsoft Tehdit İstihbarat Ekibi dedi.
Rasgele SIP baypasları, özellikle kötü amaçlı yazılım yaratıcıları tarafından sömürüldüğünde, kötü amaçlı kodun standart silme yöntemleri aracılığıyla kaldırılamayan SIP korumalı kötü amaçlı yazılım oluşturmak da dahil olmak üzere geniş kapsamlı efektlere sahip olmasını sağladığı için önemli risklerle gelir.
Ayrıca saldırı yüzeyini büyük ölçüde genişletirler ve saldırganların keyfi çekirdek kodu yürütülmesi yoluyla sistem bütünlüğüne kurcalanmasına izin verebilir ve kötü niyetli işlemleri ve dosyaları güvenlik yazılımından gizlemek için potansiyel olarak rootkits yüklemelerine izin verebilirler.
SIP korumasının atlanması, şeffaflık, rıza ve kontrol (TCC) politikalarının tam bir baypasını sağlar, tehdit aktörlerinin TCC veritabanlarını değiştirmesini ve kurbanın özel verilerine sınırsız erişim sağlama kazandırır.
Bu, son yıllarda Microsoft araştırmacıları tarafından bildirilen ilk MacOS güvenlik açığı değildir, 2021'de rapor edilen Shrootless olarak adlandırılan başka bir SIP baypas olarak, saldırganların uzlaşmış MAC'lerde keyfi operasyonlar gerçekleştirmesine, kökten ayrıcalıkları artırmasına ve korunmasız cihazlara kök salkıları yüklemelerine izin veriyor.
Daha yakın zamanlarda, Microsoft ana güvenlik araştırmacısı Jonathan Bar ya da saldırganların, bekçi yürütme kısıtlamalarını atlayabilen güvenilmeyen uygulamalar aracılığıyla kötü amaçlı yazılımları dağıtmak için sömürebilecekleri bir güvenlik kusuru buldu.
Ayrıca, saldırganların kullanıcıların korunan verilerine erişmek için şeffaflık, rıza ve kontrol (TCC) teknolojisini atlamasına izin verebilecek başka bir macOS güvenlik hatası olan Powerdir'i de keşfetti.
Microsoft: Shrootless Bug Hacker'ların MacOS Rootkits'i yüklemesine izin veriyor
Yakın zamanda sabit Outlook Zero-Click Hata için Microsoft Yams Bypass
CISA, Govt Ajanslarına Saldırılardan Sömürülen İPhone Hataları Yamaya Sıralaması
Cisa, Saldırılarda Sömürülen Samsung ASLR Bypass kusurunu uyarıyor
Apple, iPhone'ları, Mac'leri hacklemek için sömürülen üç yeni sıfır gününü düzeltir
Kaynak: Bleeping Computer