Ein Team von Microsoft Sicherheitsforscher haben es entdeckt und gemeldet Apfel über eine neue macOS-Sicherheitslücke mit dem Namen Migräne. Der iPhone Der Hersteller hat kürzlich auch die Schwachstelle behoben, die es Angreifern mit Root-Rechten ermöglicht, Apples System Integrity Protection (SIP) zu umgehen. Mit diesem Exploit können Angreifer „nicht löschbare“ Malware installieren und auf die privaten Daten des Opfers zugreifen, indem sie die Sicherheitsüberprüfungen „Transparency, Consent and Control“ (TCC) umgehen. Laut einem Bericht von Bleeping Computer hat Apple die Schwachstelle bereits in Sicherheitsupdates für macOS Ventura 13.4, macOS Monterey 12.6.6 und macOS Big Sur 11.7.7 behoben, die am 18. Mai veröffentlicht wurden.
Was ist Apples System Integrity Protection (SIP)?
System Integrity Protection (SIP) ist ein macOS-Sicherheitsmechanismus, der auch als „rootless“ bekannt ist. Dieses Protokoll verhindert, dass potenziell schädliche Software bestimmte Ordner und Dateien verändert. Der Mechanismus schränkt das Root-Benutzerkonto und seine Funktionen innerhalb geschützter Bereiche des Betriebssystems ein.
SIP basiert auf dem Prinzip, dass nur Prozesse, die von Apple signiert sind oder über besondere Berechtigungen verfügen (z. B. Software-Updates und Installationsprogramme von Apple), Änderungen an macOS-geschützten Komponenten vornehmen dürfen.
Benutzer sollten außerdem beachten, dass es keine Möglichkeit gibt, SIP zu deaktivieren, ohne das System neu zu starten und zu booten macOS-Wiederherstellung (Das integrierte Wiederherstellungssystem. Darüber hinaus ist es erforderlich, physischen Zugriff auf ein bereits kompromittiertes Gerät zu haben.
Wie Angreifer die SIP-Sicherheit umgingen
Forscher von Microsoft haben herausgefunden, dass Angreifer mit Root-Berechtigungen die Durchsetzung der SIP-Sicherheit umgehen konnten, indem sie das Dienstprogramm macOS Migration Assistant missbrauchten. Hierbei handelt es sich um eine integrierte macOS-App, die den Systemmigrations-Daemon mit SIP-Umgehungsfunktionen nutzt, die sich aus seiner com.apple.rootless.install.heritable-Berechtigung ergeben.
Die Forscher zeigten, dass Angreifer mit Root-Berechtigungen den Migrationsprozess automatisieren können AppleScript und starten Sie eine bösartige Nutzlast, nachdem Sie sie zur Ausschlussliste von SIP hinzugefügt haben. Dazu müssen Angreifer nicht einmal das System neu starten und es über macOS Recovery booten.
„Indem wir uns auf Systemprozesse konzentrierten, die von Apple signiert sind und über die Berechtigung com.apple.rootless.install.heritable verfügen, haben wir zwei untergeordnete Prozesse gefunden, die manipuliert werden könnten, um die Ausführung willkürlichen Codes in einem Sicherheitskontext zu erreichen, der SIP-Prüfungen umgeht.“ Die Microsoft Threat Intelligence Team sagte.
Was ist Apples System Integrity Protection (SIP)?
System Integrity Protection (SIP) ist ein macOS-Sicherheitsmechanismus, der auch als „rootless“ bekannt ist. Dieses Protokoll verhindert, dass potenziell schädliche Software bestimmte Ordner und Dateien verändert. Der Mechanismus schränkt das Root-Benutzerkonto und seine Funktionen innerhalb geschützter Bereiche des Betriebssystems ein.
SIP basiert auf dem Prinzip, dass nur Prozesse, die von Apple signiert sind oder über besondere Berechtigungen verfügen (z. B. Software-Updates und Installationsprogramme von Apple), Änderungen an macOS-geschützten Komponenten vornehmen dürfen.
Benutzer sollten außerdem beachten, dass es keine Möglichkeit gibt, SIP zu deaktivieren, ohne das System neu zu starten und zu booten macOS-Wiederherstellung (Das integrierte Wiederherstellungssystem. Darüber hinaus ist es erforderlich, physischen Zugriff auf ein bereits kompromittiertes Gerät zu haben.
Wie Angreifer die SIP-Sicherheit umgingen
Forscher von Microsoft haben herausgefunden, dass Angreifer mit Root-Berechtigungen die Durchsetzung der SIP-Sicherheit umgehen konnten, indem sie das Dienstprogramm macOS Migration Assistant missbrauchten. Hierbei handelt es sich um eine integrierte macOS-App, die den Systemmigrations-Daemon mit SIP-Umgehungsfunktionen nutzt, die sich aus seiner com.apple.rootless.install.heritable-Berechtigung ergeben.
Die Forscher zeigten, dass Angreifer mit Root-Berechtigungen den Migrationsprozess automatisieren können AppleScript und starten Sie eine bösartige Nutzlast, nachdem Sie sie zur Ausschlussliste von SIP hinzugefügt haben. Dazu müssen Angreifer nicht einmal das System neu starten und es über macOS Recovery booten.
„Indem wir uns auf Systemprozesse konzentrierten, die von Apple signiert sind und über die Berechtigung com.apple.rootless.install.heritable verfügen, haben wir zwei untergeordnete Prozesse gefunden, die manipuliert werden könnten, um die Ausführung willkürlichen Codes in einem Sicherheitskontext zu erreichen, der SIP-Prüfungen umgeht.“ Die Microsoft Threat Intelligence Team sagte.
Wie sich dieser Fehler auf macOS-Benutzer auswirken kann
Der Bericht erwähnt, dass willkürliche SIP-Umgehungen, wenn sie von Malware-Erstellern ausgenutzt werden, erhebliche Risiken bergen können. Dieser Fehler kann dazu führen, dass bösartiger Code weitreichendere Auswirkungen hat, einschließlich der Erstellung von SIP-geschützter Malware, die nicht mit Standardlöschmethoden entfernt werden kann.
Dieser Fehler kann es Angreifern auch ermöglichen, die Systemintegrität durch die Ausführung willkürlichen Kernelcodes zu manipulieren. Sie können möglicherweise auch Rootkits installieren, um schädliche Prozesse und Dateien vor Sicherheitssoftware zu verbergen.