Хакер #305. Многошаговые SQL-инъекции
Специалисты компании Microsoft обнаружили уязвимость Migraine (CVE-2023-32369) в операционной системе macOS. Теперь, когда разработчики Apple устранили этот баг, стало известно, что он позволяет злоумышленникам с root-привилегиями обходить защиту System Integrity Protection (SIP), устанавливать на устройство «неудаляемую» малварь и получать доступ к личным данным жертвы, минуя проверки безопасности Transparency, Consent and Control (TCC).
Apple устранила уязвимость с релизом macOS Ventura 13.4, macOS Monterey 12.6.6, и macOS Big Sur 11.7.7 две недели назад, 18 мая 2023 года.
Механизм System Integrity Protection (SIP), также известный как «rootless», представляет собой защитную функциональность в macOS и является своего рода аналогом песочницы. Механизм не позволяет потенциально вредоносному ПО изменять определенные папки и файлы, используя для этого пользователя root и его возможности для работы с защищенными областями ОС.
SIP придерживается принципа, что изменять защищенные компоненты macOS разрешено только процессам, подписанным Apple, или процессам, обладающим специальными правами, например, обновлениям и установщикам ПО.
Также важно отметить, что отключить SIP без перезагрузки системы и запуска macOS Recovery невозможно, а для этого нужно иметь физический доступ к уже взломанному устройству.
Однако исследователи Microsoft обнаружили, что злоумышленники с правами root могут обойти защиту SIP, используя утилиту macOS Migration Assistant, встроенную в macOS и использующую демон systemmigrationd с возможностями обхода SIP (благодаря правам com.apple.rootless.install.heritable).
Исследователи продемонстрировали, что злоумышленники с root-правами могут автоматизировать этот процесс с помощью AppleScript и запустить вредоносную полезную нагрузку, добавив ее в список исключений SIP (без перезагрузки системы и macOS Recovery).
«Сфокусировавшись на системных процессах, подписанных Apple и имеющих права com.apple.rootless.install.heritable, мы обнаружили два дочерних процесса, которые можно использовать, чтобы добиться произвольное выполнение кода в обход проверок SIP», — пишут эксперты Microsoft Threat Intelligence.
Отмечается, что обход SIP сопряжен со значительными рисками, особенно если этим пользуются создатели малвари. Это может иметь далеко идущие последствия, включая создание «защищенных» SIP вредоносных программ, которые будет невозможно удалить стандартными методами.
Также обход SIP значительно расширяет возможности атакующих и позволяет злоумышленникам нарушить целостность системы, путем произвольного выполнения кода на уровне ядра, а также создавать и устанавливать руткиты для сокрытия вредоносных процессов и файлов от защитных программ
Кроме того, это позволяет полностью обойти Transparency, Consent, and Control (TCC), позволяя хакерам подменить базы данных TCC и получать неограниченный доступ к личным данным жертвы.