Νέο “Shrootless” σφάλμα θα μπορούσε να επιτρέψει στους επιτιθέμενους να εγκαταστήσουν Rootkit σε συστήματα macOS

Η Microsoft αποκάλυψε την Πέμπτη λεπτομέρειες μιας νέας ευπάθειας που θα μπορούσε να επιτρέψει σε έναν εισβολέα να παρακάμψει τους περιορισμούς ασφαλείας στο macOS και να αναλάβει τον πλήρη έλεγχο της συσκευής ώστε να εκτελέσει αυθαίρετες λειτουργίες στη συσκευή χωρίς να γίνεται flagged από παραδοσιακές λύσεις ασφαλείας.

Ονομάστηκε “Shrootless” και παρακολουθείται ως CVE-2021-30892, η “ευπάθεια έγκειται στον τρόπο με τον οποίο εγκαθίστανται πακέτα υπογεγραμμένα από την Apple με scripts για μετά την εγκατάσταση”, δήλωσε ο Jonathan Bar Or του Microsoft 365 Defender Research Team σε μια τεχνική σύνταξη. “Ένας κακόβουλος παράγοντας θα μπορούσε να δημιουργήσει ένα ειδικά δημιουργημένο αρχείο που θα παραβίαζε τη διαδικασία εγκατάστασης.”

Το System Integrity Protection (SIP) γνωστό και ως “rootless” είναι μια δυνατότητα ασφαλείας που εισήχθη στο OS X El Capitan και έχει σχεδιαστεί για να προστατεύει το λειτουργικό σύστημα macOS περιορίζοντας έναν χρήστη root από την εκτέλεση μη εξουσιοδοτημένου κώδικα ή την εκτέλεση λειτουργιών που ενδέχεται να θέσουν σε κίνδυνο την ακεραιότητα του συστήματος.

Συγκεκριμένα, το SIP επιτρέπει την τροποποίηση προστατευμένων τμημάτων του συστήματος — όπως /System, /usr, /bin, /sbin και /var — μόνο από διαδικασίες που υπογράφονται από την Apple ή εκείνες που έχουν ειδικά δικαιώματα εγγραφής σε αρχεία συστήματος, όπως οι ενημερώσεις λογισμικού της Apple και τα προγράμματα εγκατάστασης της Apple, ενώ επίσης εξουσιοδοτούνται αυτόματα οι εφαρμογές που λαμβάνονται από το Mac App Store.

Η έρευνα της Microsoft για την τεχνολογία ασφαλείας εξέτασε τις διεργασίες macOS που δικαιούνται να παρακάμπτουν τις προστασίες SIP, οδηγώντας στην ανακάλυψη ενός δαίμονα εγκατάστασης λογισμικού που ονομάζεται “system_installd” που επιτρέπει σε οποιαδήποτε από τις θυγατρικές διεργασίες της να παρακάμπτουν πλήρως τους περιορισμούς του συστήματος αρχείων SIP.

Έτσι, όταν εγκαθίσταται ένα πακέτο υπογεγραμμένο από την Apple, καλεί το system_installd daemon και τυχόν σενάρια μετά την εγκατάσταση που περιέχονται στο πακέτο εκτελούνται με την κλήση ενός προεπιλεγμένου φλοιού, το οποίο είναι Z shell (zsh) στο macOS.

“Είναι ενδιαφέρον ότι όταν ξεκινά το zsh, αναζητά το αρχείο /etc/zshenv και – αν βρεθεί – εκτελεί αυτόματα εντολές από αυτό το αρχείο, ακόμη και σε μη διαδραστική λειτουργία”, είπε ο Bar Or. “Ως εκ τούτου, για να εκτελούν οι εισβολείς αυθαίρετες λειτουργίες στη συσκευή, μια πλήρως αξιόπιστη διαδρομή που θα μπορούσαν να ακολουθήσουν θα ήταν να δημιουργήσουν ένα κακόβουλο αρχείο /etc/zshenv και μετά να περιμένουν το system_installd να καλέσει το zsh.”

Η επιτυχής εκμετάλλευση του CVE-2021-30892 θα μπορούσε να επιτρέψει σε μια κακόβουλη εφαρμογή να τροποποιήσει προστατευμένα μέρη του συστήματος αρχείων, συμπεριλαμβανομένης της δυνατότητας εγκατάστασης κακόβουλων προγραμμάτων οδήγησης πυρήνα (γνωστά και ως rootkits), αντικατάσταση αρχείων συστήματος ή εγκατάσταση μόνιμου, μη ανιχνεύσιμου κακόβουλου λογισμικού. Η Apple είπε ότι αποκατέστησε το πρόβλημα με πρόσθετους περιορισμούς ως μέρος των ενημερώσεων ασφαλείας που προωθήθηκαν στις 26 Οκτωβρίου 2021.

“Η τεχνολογία ασφαλείας όπως το SIP σε συσκευές macOS χρησιμεύει τόσο ως ενσωματωμένη βασική προστασία της συσκευής όσο και ως τελευταία γραμμή άμυνας έναντι κακόβουλου λογισμικού και άλλων απειλών για την ασφάλεια στον κυβερνοχώρο”, δήλωσε ο Bar Or. «Δυστυχώς, οι κακόβουλοι παράγοντες συνεχίζουν να βρίσκουν καινοτόμους τρόπους για να παραβιάσουν αυτά τα εμπόδια για τους ίδιους λόγους».

[The Hcker News]

Facebook
Twitter
LinkedIn
Pinterest

Other posts

Ubisoft: Δεν διέρρευσαν προσωπικά δεδομένα χρηστών στο πρόσφατο περιστατικό κυβερνοασφάλειας

Η hacking ομάδα Lapsus$ μάλλον βρίσκεται πίσω από την επίθεση. Η hacking ομάδα Lapsus$ από τη Νότια Αμερική ανέβαλε την ευθύνη για άλλο ένα περιστατικό εισβολής. Την περασμένη Πέμπτη, η Ubisoft ανέφερε ότι υπέστη ένα «περιστατικό κυβερνοασφάλειας»

Read More »

Το Ισραήλ δέχτηκε τη μεγαλύτερη κυβερνοεπίθεση μέχρι σήμερα

«Τις τελευταίες ώρες, εντοπίστηκε επίθεση distributed denial-of-service [DDoS] σε πάροχο επικοινωνιών, η οποία, είχε ως αποτέλεσμα, να εμποδίσει για μικρό χρονικό διάστημα την πρόσβαση σε έναν αριθμό τοποθεσιών, συμπεριλαμβανομένων των κυβερνητικών τοποθεσιών» όπως των Υπουργείων

Read More »

Στο επίκεντρο των συζητήσεων της Άτυπης Συνόδου των Ευρωπαίων Υπουργών Τηλεπικοινωνιών η οικοδόμηση ισχυρού οικοσυστήματος κυβερνοασφάλειας

Στις πόλεις Παρίσι και Νεβέρ της Γαλλίας, πραγματοποιήθηκε το διήμερο 8 και 9 Μαρτίου 2022, υπό την Γαλλική Προεδρία, η Άτυπη Σύνοδο Υπουργών Τηλεπικοινωνιών. Την Κύπρο εκπροσώπησε ο Υφυπουργός Έρευνας, Καινοτομίας και Ψηφιακής Πολιτικής κ.

Read More »