Патрик Вордл (Patrick Wardle), главный инженер-исследователь Synack, предупредил, что новый защитный механизм macOS, Secure Kernel Extension Loading (SKEL), который впервые появится в macOS High Sierra, в конце сентября 2017 года, можно обойти. Обман защиты позволит атакующему загрузить вредоносное расширение ядра (kernel extension).
Равно как Linux и Windows, macOS позволяет приложениями загружать сторонние расширения ядра, когда нужно выполнить какие-либо действия на совсем низком уровне. Разработчик, который желает загрузить kernel extension (файлы KEXT) во время установки своего приложения, должен подписать расширение ядра специальным сертификатом. Получить такой сертификат непросто, так как Apple очень внимательно следит за тем, кому они выдаются.
Механизм SKEL, который впервые появится в грядущей macOS High Sierra, призван улучшить безопасность процесса загрузки KEXT. Так, когда приложение пытается загрузить расширение ядра, SKEL выведет на экран предупреждение, как на скриншоте, показанном ниже. Такие всплывающие сообщения не показываются лишь при работе нескольких, избранных приложений от доверенных разработчиков.
По сути, основной задачей SKEL является блокирование легитимных, но уязвимых KEXT, которые могут скомпрометировать атакующие. Для этой цели Apple составляет OSKextExcludeList – черный список уязвимых расширений. Более подробно о принципах работы Apple SKEL можно почитать в официальной документации.
Однако Патрик Вордл уже раскритиковал новый механизм в пух и прах. В блоге специалист пишет, что SKEL будет мешать работе «хороших парней», которые вынуждены играть по правилам (то есть сторонних разработчиков, которые создают ИБ-решения), тогда как «в силу недостатков в имплементации, это не затронет плохих парней (хакеров и авторов малвари)».
В качестве иллюстрации своей точки зрения Вордл рассказал, как можно обмануть защиту SKEL в macOS High Sierra. Подробности были опубликованы в личном блоге специалиста, а также на сайте Synack. Хотя многие технические детали Вордл пока не раскрывает, известно, что обход SKEL стал продолжением другого исследования, представленного еще в 2016 году. Тогда эксперт рассказал на конференции DEF CON о технике загрузки KEXT в обход защитных механизмов через уязвимость в Little Snitch.
