✔MacOS подвержена багу Shrootless, через который можно устанавливать руткиты - «Новости»

01 ноября 2021 899 Заработок / Текст / Добавления стилей / Изображения / Новости 0

Проблему обнаружила команда Microsoft 365 Defender и дала багу название Shrootless (также проблеме был присвоен идентификатор CVE-2021-30892).

Защитный механизм SIP также известен как rootless, отсюда и происходит название уязвимости. Он призван блокировать изменения защищенных папок и файлов для потенциально вредоносных программ, а также ограничивать root-пользователя и действия, которые тот может выполнять в защищенных частях ОС. То есть, в нормальных обстоятельствах, SIP позволяет изменять защищенные части macOS только тем процессам, которые подписаны Apple или имеют особые права (например, инструменты для обновления ПО или установщики Apple).

Проблема Shrootless заключается в том, что демон system_installd, ответственный за установку ПО, имел права com.apple.rootless.install.inheritable, что позволяло его дочернему процессу полностью обходить ограничения SIP. То есть post-install скрипты запускаются в рамках дочернего процесса демона и могут обойти SIP.

«Мы обнаружили уязвимость, которая заключается в том, как устанавливаются подписанные Apple пакеты с post-install скриптами. Злоумышленник мог создать специальный файл, который захватывал процесс установки. После обхода ограничений SIP он мог установить вредоносный драйвер ядра (руткит), перезаписать системные файлы и, в числе прочего, установить постоянное, необнаруживаемое вредоносное ПО», — рассказывают эксперты Microsoft.

Как уже было сказано выше, в настоящее время уязвимость уже устранена. В Apple сообщили, что посредством CVE-2021-30892 вредоносные приложения могли изменять защищенные части файловой системы, а также поблагодарили исследователей из Microsoft за обнаружение бага.

Специалисты Microsoft сообщили, что в начале текущей недели Apple устранила опасную уязвимость в операционных системах macOS Big Sur и Monterey. Баг мог использоваться для обхода защиты System Integrity Protection (SIP), выполнения произвольных операций, повышения привилегий до уровня root и установки руткитов. Проблему обнаружила команда Microsoft 365 Defender и дала багу название Shrootless (также проблеме был присвоен идентификатор CVE-2021-30892). Защитный механизм SIP также известен как rootless, отсюда и происходит название уязвимости. Он призван блокировать изменения защищенных папок и файлов для потенциально вредоносных программ, а также ограничивать root-пользователя и действия, которые тот может выполнять в защищенных частях ОС. То есть, в нормальных обстоятельствах, SIP позволяет изменять защищенные части macOS только тем процессам, которые подписаны Apple или имеют особые права (например, инструменты для обновления ПО или установщики Apple). Проблема Shrootless заключается в том, что демон system_installd, ответственный за установку ПО, имел права com.apple.rootless.install.inheritable, что позволяло его дочернему процессу полностью обходить ограничения SIP. То есть post-install скрипты запускаются в рамках дочернего процесса демона и могут обойти SIP. «Мы обнаружили уязвимость, которая заключается в том, как устанавливаются подписанные Apple пакеты с post-install скриптами. Злоумышленник мог создать специальный файл, который захватывал процесс установки. После обхода ограничений SIP он мог установить вредоносный драйвер ядра (руткит), перезаписать системные файлы и, в числе прочего, установить постоянное, необнаруживаемое вредоносное ПО», — рассказывают эксперты Microsoft. Как уже было сказано выше, в настоящее время уязвимость уже устранена. В Apple сообщили, что посредством CVE-2021-30892 вредоносные приложения могли изменять защищенные части файловой системы, а также поблагодарили исследователей из Microsoft за обнаружение бага.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.