Исследователь компании SentinelOne Педро Вилача (Pedro Vilaça) обнаружил серьезный баг в OS X. Уязвимость позволяет повысить локальные привилегии в системе до максимального уровня, а также обойти механизм защиты System Integrity Protection (SIP), который Apple добавила в свою операционную систему, начиная с версии El Capitan.
Сообщается, что Вилача обнаружил проблему еще в начале 2015 года, но доложил о ней Apple лишь в январе 2016 года. Уязвимость получила идентификатор CVE-2016-1757 и актуальна для всех версий OS X. Пока проблему устранили только в новейшей версии El Capitan (10.11.4), которая вышла 21 марта 2016 года.
Сам исследователь описал баг как «non-memory corruption», затрагивающий ядро OS X. Уязвимость можно использовать для исполнения на машине жертвы произвольного кода или бинарника. Исследователь утверждает, что у него есть работающий proof-of-concept эксплоит, однако публиковать его Вилача не спешит, так как уязвимость устранена пока только в OS X El Capitan.
Самое неприятное заключается в том, что баг позволяет обойти защитный механизм SIP, недавно добавленный в состав операционной системы. SIP не позволяет даже пользователям с root-привилегиями модифицировать ключевые компоненты и процессы ОС. К примеру, механизм предохраняет от изменений содержимое директорий /System, /usr, /bin, /sbin и предустановленные в OS X приложения.
В результате возникает интересный парадокс: если злоумышленник воспользуется уязвимостью Вилача, и его малварь обойдет защиту SIP, модифицировав системные файлы, пользователь, даже имея высокие права в системе, не сможет эффективно бороться с заражением. SIP не позволит жертве добраться до пострадавших файлов, так как они являются системными. Вилача утверждает, что обойти SIP возможно, использовав уязвимость, но не компрометируя при этом само ядро.
Разумеется, для эксплуатации бага злоумышленнику сначала понадобится получить доступ к машине жертвы, но Вилача уверен, что добиться этого нетрудно, к примеру, посредством фишинговой атаки или через уязвимость в браузере.
«Уязвимость легко эксплуатировать, если атакующий может запустить код в системе жертвы. Эксплоит очень надежен (100%). Он может быть частью цепочки уязвимостей, которые используют браузер Safari или Chrome [для проникновения в систему], — рассказал исследователь изданию SecurityWeek. — Изначально эксплоит может быть использован для исполнения кода и побега из песочницы. Затем для эскалации привилегий и обхода System Integrity Protection, чтобы зафиксировать свое присутствие в системе».
Более подробную информацию о проблеме Педро Вилача обнародовал вчера, 24 марта 2016 года, в ходе выступления на конференции SysCan360 в Сингапуре. Но до сети детали его доклада пока не добрались.
Фото: Apple
