Apple telah menambal kerentanan di macOS dapat memungkinkan penyerang untuk melewati perlindungan kunci OS dan menginstal rootkit berbahaya untuk melakukan operasi sewenang-wenang pada perangkat, peneliti dari Microsoft telah menemukan. Perlindungan Integritas Sistem (SIP) ditemukan di macOS. Jonathan Bar Or dari Microsoft 365 Defender Research Team menjelaskan dalam posting blog bahwa SIP membatasi pengguna di tingkat root OS untuk melakukan operasi yang dapat membahayakan integritas sistem. , yang dilacak sebagai CVE-2021-30892, Atau wrote.
“Kami menemukan bahwa kerentanan terletak pada bagaimana paket yang ditandatangani Apple dengan skrip pasca-instal diinstal,” jelasnya dalam posting tersebut. “Aktor jahat dapat membuat file yang dibuat khusus yang akan membajak proses instalasi. Setelah melewati batasan SIP, penyerang kemudian dapat menginstal driver kernel berbahaya (rootkit), menimpa file sistem, atau menginstal malware yang persisten dan tidak terdeteksi, antara lain.”
Microsoft Security Vulnerability Research (MSVR) membagikan temuan para peneliti kepada Apple melalui Coordinated Vulnerability Disclosure (CVD), dan perusahaan segera merespon, Atau kata. Apple menyertakan perbaikan untuk kelemahan tersebut dalam serangkaian pembaruan keamanan yang dirilis pada 26 Oktober
Minat Microsoft pada kelemahan MacOS menunjukkan minat peneliti pada keamanan untuk jaringan perusahaan yang menggunakan lingkungan hibrid, yang meningkatkan permukaan serangan bagi pelaku ancaman untuk membahayakan banyak perangkat terlepas dari OS, Atau catat.
“Kerentanan tingkat OS ini dan lainnya yang pasti akan terungkap menambah semakin banyak kemungkinan vektor serangan untuk dieksploitasi oleh penyerang,” tulisnya. “Seiring dengan semakin heterogennya jaringan, jumlah ancaman yang mencoba mengkompromikan perangkat non-Windows juga meningkat.” Apple pertama kali memperkenalkan proses, juga dikenal sebagai “tanpa akar”, di macOS Yosemite. Proses “pada dasarnya mengunci sistem dari root dengan memanfaatkan kotak pasir Apple untuk melindungi seluruh platform,” Atau dijelaskan.
Dua variabel NVRAM mengontrol sistem: csr-active-config, bitmask dari perlindungan yang diaktifkan; dan csr-data, yang menyimpan konfigurasi netboot.
“Variabel ini tidak dapat dimodifikasi secara sah dalam mode non-pemulihan,” Atau tulis. “Oleh karena itu, satu-satunya cara yang sah untuk menonaktifkan SIP adalah dengan mem-boot ke mode pemulihan dan mematikan SIP. Mengaktifkan atau menonaktifkan SIP dilakukan menggunakan alat csrutil bawaan, yang juga dapat menampilkan status SIP.”
SIP memiliki sejumlah perlindungan yang digunakannya untuk mengamankan kernel macOS dan proses root lainnya. Penyerang dapat melewati SIP, namun, menggunakan sejumlah skenario serangan, Atau wrote.
Misalnya, mereka dapat memuat ekstensi kernel yang tidak tepercaya dapat membahayakan kernel dan memungkinkan ekstensi tersebut melakukan operasi tanpa pemeriksaan apa pun, atau melewati pemeriksaan sistem file yang memungkinkan kernel ekstensi untuk menegakkan SIP untuk dirinya sendiri sepenuhnya. Penyerang juga dapat dengan bebas memodifikasi NVRAM untuk mengontrol SIP itu sendiri, kata para peneliti.
Perincian Shrootless
Para peneliti menemukan Shrootless ketika, dalam analisis mereka, mereka menemukan daemon system_installd, yang memiliki hak com.apple.rootless.install.heritable yang kuat. Dengan hak ini, setiap proses anak system_installd akan dapat melewati batasan sistem file SIP sama sekali, Atau menulis.
Setelah memeriksa semua proses anak system_installd, peneliti menemukan beberapa kasus yang dapat memungkinkan penyerang menyalahgunakan fungsinya dan memotong SIP, jelasnya .
“Misalnya, ketika menginstal paket yang ditandatangani Apple (file .PKG), paket tersebut memanggil system_installd, yang kemudian bertanggung jawab untuk menginstal yang pertama,” Atau menulis. “Jika paket berisi skrip pasca-instal, system_installd menjalankannya dengan menjalankan shell default, yaitu zsh di macOS. Menariknya, ketika zsh dimulai, ia mencari file /etc/zshenv, dan — jika ditemukan — menjalankan perintah dari file itu secara otomatis, bahkan dalam mode non-interaktif.”
Oleh karena itu, penyerang dapat melakukan operasi sewenang-wenang pada perangkat dengan membuat file /etc/zshenv berbahaya dan kemudian menunggu system_installd untuk memanggil zsh, jelasnya.
Researchers membuat eksploitasi proof-of-concept (PoC) Shrootless yang berfungsi penuh yang dapat menimpa daftar pengecualian ekstensi kernel menggunakan tiga langkah. PoC mengunduh paket yang ditandatangani Apple (menggunakan wget) yang diketahui memiliki skrip pasca pemasangan; kemudian tanam /etc/zshenv berbahaya yang memeriksa proses induknya; dan terakhir, jika system_installd, menulis ke lokasi terbatas; dan memanggil utilitas penginstal untuk menginstal package.
Tim Microsoft juga menemukan bahwa zshenv dapat digunakan sebagai teknik serangan umum sebagai mekanisme persistensi atau untuk meningkatkan hak istimewa selain digunakan untuk bypass SIP, Atau tulis.