Microsoft: ошибка Shrootless позволяет хакерам устанавливать руткиты macOS

39
Сделка Microsoft и Activision дает спекулянтам по слияниям новую любимицу

Злоумышленники могут использовать новую уязвимость macOS, обнаруженную Microsoft, для обхода защиты целостности системы (SIP) и выполнения произвольных операций, повышения привилегий до root и установки руткитов на уязвимые устройства.

Исследовательская группа Microsoft 365 Defender сообщила Apple об уязвимости, получившей название Shrootless (теперь отслеживаемой как CVE-2021-30892 ), через исследование Microsoft Security Vulnerability Research (MSVR).

SIP (также известный как rootless) — это технология безопасности macOS, которая блокирует изменение защищенных папок и файлов потенциально вредоносным программным обеспечением, ограничивая учетную запись пользователя root и ограничивая действия, которые она может выполнять в защищенных частях ОС.

По умолчанию SIP позволяет изменять эти защищенные части macOS только процессам, подписанным Apple или имеющим особые права (например, обновления программного обеспечения Apple и установщики Apple).

Проблема безопасности Shrootless была обнаружена исследователями Microsoft после того, как они заметили, что демон system_installd имеет право com.apple.rootless.install.inheritable, которое позволяет любому дочернему процессу полностью обходить ограничения файловой системы SIP.

«Мы обнаружили, что уязвимость заключается в том, как устанавливаются подписанные Apple пакеты со сценариями после установки. Злоумышленник может создать специально созданный файл, который захватит процесс установки», — пояснил Джонатан Бар Ор, главный исследователь безопасности в Microsoft.

«После обхода ограничений SIP злоумышленник может установить вредоносный драйвер ядра (руткит), перезаписать системные файлы или установить постоянное, необнаруживаемое вредоносное ПО, среди прочего».

Apple выпустила исправление для устранения недостатка безопасности в обновлениях безопасности, выпущенных два дня назад, 26 октября.

«Вредоносное приложение может быть в состоянии изменить защищенные части файловой системы,» сказал Apple , в советах по безопасности .

Apple решила проблему с унаследованными разрешениями, лежавшую в основе ошибки Shrootless, с дополнительными ограничениями.

«Мы хотим поблагодарить команду безопасности продуктов Apple за их профессионализм и оперативность в устранении проблемы», — добавил Джонатан Бар Ор.

На прошлой неделе Microsoft также сообщила об обнаружении новых вариантов вредоносного ПО для macOS WizardUpdate (также отслеживаемого как UpdateAgent или Vigram), обновленного для использования новой тактики уклонения и сохранения.

Этот троян развертывает вредоносные программы второго уровня, в том числе Adload, штамм вредоносного ПО, активный с конца 2017 года и известный тем, что может проскользнуть через встроенный антивирус XProtect на основе сигнатур Apple YARA для заражения компьютеров Mac.

В июне исследователи безопасности из Редмонда также обнаружили критические уязвимости прошивки в некоторых моделях маршрутизаторов NETGEAR, которые злоумышленники могут использовать для взлома и бокового перемещения внутри корпоративных сетей.

Последнее обновление 9 месяцев назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии