Microsoft сподели подробности за вече поправен недостатък в Apple macOS, който може да бъде използван от заплахи с root достъп за заобикаляне на мерките за сигурност и извършване на произволни действия на засегнатите устройства.

По-конкретно, недостатъкът – наречен Migraine и проследен като CVE-2023-32369 – може да бъде използван за заобикаляне на ключова мярка за сигурност, наречена System Integrity Protection (SIP) или „rootless“, която ограничава действията, които root потребителят може да извършва върху защитени файлове и папки.

„Най-простата последица от заобикалянето на SIP е, че атакуващият може да създаде файлове, които са защитени от SIP и следователно не могат да бъдат премахнати с обикновени средства“, казват изследователите на Microsoft Джонатан Бар Ор, Майкъл Пиърс и Анураг Бохра.

Още по-лошо, то може да бъде използвано за получаване на произволно изпълнение на код на ядрото и дори за достъп до чувствителни данни чрез подмяна на базите данни, които управляват политиките за прозрачност, съгласие и контрол (TCC).

Заобикалянето е възможно чрез използване на вграден инструмент на macOS, наречен Migration Assistant, за активиране на процеса на миграция чрез AppleScript, който е предназначен за окончателно стартиране на произволен полезен товар.

Това, от своя страна, произтича от факта, че systemmigrationd, който служи за обработка на прехвърлянето на устройствата – идва с правото com.apple.rootless.install.heritable, което позволява на всички негови дъщерни процеси, включително bash и perl, да заобикалят проверките на SIP.

В резултат на това хакер, който вече има възможности за изпълнение на код като root, може да задейства systemmigrationd да стартира perl, който след това може да се използва за стартиране на злонамерен шел скрипт, докато тече процесът на миграция.

След  разкриването уязвимостта беше отстранена от Apple като част от актуализации (macOS Ventura 13.4, macOS Monterey 12.6.6 и macOS Big Sur 11.7.7), доставени на 18 май 2023 г.

Производителят на iPhone описва CVE-2023-32369 като логически проблем, който може да позволи на злонамерено приложение да модифицира защитени части от файловата система.

Migraine е най-новото допълнение към списъка на заобикалянията на сигурността на macOS, които са документирани под имената Shrootless (CVE-2021-30892, CVSS оценка: 5,5), powerdir (CVE-2021-30970, CVSS оценка: 5,5) и Achilles (CVE-2022-42821, CVSS оценка: 5,5).

„Последиците от произволното заобикаляне на SIP са сериозни, тъй като потенциалът за авторите на зловреден софтуер е значителен“, казват изследователите.

„Заобикалянето на SIP може да доведе до сериозни последици, като например увеличаване на потенциала на нападателите и авторите на зловреден софтуер за успешно инсталиране на руткитове, създаване на устойчив зловреден софтуер и разширяване на повърхността за атака за допълнителни техники и експлойти.“

Откритията идват в момент, когато Jamf Threat Labs разкри подробности за недостатък от типа confusion в ядрото на macOS, който може да бъде използван като оръжие от измамно приложение, инсталирано на устройството, за изпълнение на произволен код с привилегии на ядрото.

Означен като ColdInvite (известен още като CVE-2023-27930), недостатъкът „може да доведе до  използване на копроцесора с цел получаване на привилегии за четене/запис в ядрото, което позволява на недоброжелателя да се доближи до осъществяването на крайната си цел – пълно компрометиране на устройството“.

Източник: The Hacker News

Подобни публикации

7 февруари 2025

7 стъпки към подобряване на киберустойчивостта ...

В днешно време повечето аспекти на бизнеса са цифровизирани и е от ...
7 февруари 2025

Hападателите използват открити ключове на ASP.N...

Microsoft предупреждава, че нападателите внедряват зловреден софтуе...
7 февруари 2025

Законодателите от Камарата забраняват приложени...

Двупартийно дуо в Камарата на представителите на САЩ предлага закон...
7 февруари 2025

Zimperium откри 1 000 приложения, използвани в ...

Фирмата за мобилна сигурност Zimperium е разкрила широка злонамерен...
7 февруари 2025

Astra и Invary набираха милиони за AI-Pentesti...

Тази седмица стартиращите компании за киберсигурност Astra Security...
7 февруари 2025

Хакер, атакувал НАТО и армията на САЩ, е аресту...

Испанските власти обявиха, че е арестувано лице, заподозряно като х...
6 февруари 2025

Нигерия с успехи в киберсигурността, въпреки че...

Правителството на Нигерия предприе по-строги мерки срещу финансовит...
6 февруари 2025

Нападателите се насочват към образователния сек...

Кампания за фишинг се възползва от услугата Microsoft Active Direct...
Бъдете социални
Още по темата
07/02/2025

Hападателите използват откр...

Microsoft предупреждава, че нападателите внедряват зловреден...
05/02/2025

Ferret Malware е добавен къ...

В нова кръпка за своя инструмент...
04/02/2025

22 нови семейства зловреден...

Според Патрик Уордъл, авторитетен изследовател на...
Последно добавени
07/02/2025

7 стъпки към подобряване на...

В днешно време повечето аспекти на...
07/02/2025

Hападателите използват откр...

Microsoft предупреждава, че нападателите внедряват зловреден...
07/02/2025

Законодателите от Камарата ...

Двупартийно дуо в Камарата на представителите...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!