-
09/04/2020
-
95
-
773 bài viết
Lỗ hổng nghiêm trọng trên macOS cho phép bypass sandbox và thực thi mã từ xa
Lỗ hổng bảo mật CVE-2025-31191 trong macOS đã được Microsoft phát hiện và công bố. Lỗ hổng này cho phép các ứng dụng bị sandbox hạn chế có thể thoát ra khỏi sandbox và thực thi mã độc mà không cần sự tương tác của người dùng, bằng cách khai thác cơ chế security-scoped bookmarks.
App Sandbox của macOS là một cơ chế bảo mật quan trọng, áp đặt các giới hạn nghiêm ngặt đối với những gì một ứng dụng có thể làm, nhằm giảm thiểu tác động tiềm tàng từ phần mềm độc hại. Theo nghiên cứu từ Microsoft, nếu khai thác thành công lỗ hổng này, đặc biệt trong ứng dụng Microsoft Office, kẻ tấn công cần thực hiện một chuỗi khai thác phức tạp và có bật macro trong Office.
Quá trình khai thác bao gồm các bước sau:
Lỗ hổng nằm ở cách macOS xử lý security-scoped bookmarks- một cơ chế cho phép ứng dụng được sandbox truy cập file ngoài sandbox với sự cho phép rõ ràng từ người dùng. Bằng cách thao túng entry keychain com.apple.scopedbookmarksagent.xpc, kẻ tấn công có thể thay thế secret ký tên hiện tại bằng một giá trị đã biết, từ đó tạo và xác thực các entry của riêng mình trong file PLIST của scoped bookmarks.
Phát hiện của Microsoft xác nhận rằng kỹ thuật khai thác này có hiệu quả với bất kỳ ứng dụng sandbox nào sử dụng security-scoped bookmarks, khiến nó trở thành một phương thức vượt sandbox mang tính chất tổng quát trên macOS.
Apple đã phát hành bản vá cho CVE-2025-31191 trong đợt cập nhật bảo mật ngày 31/ 3/ 2025. Người dùng được khuyến cáo nên cập nhật ngay các bản vá này để bảo vệ hệ thống khỏi các nguy cơ khai thác thực tế.
Các chuyên gia khuyến nghị thêm người dùng:
App Sandbox của macOS là một cơ chế bảo mật quan trọng, áp đặt các giới hạn nghiêm ngặt đối với những gì một ứng dụng có thể làm, nhằm giảm thiểu tác động tiềm tàng từ phần mềm độc hại. Theo nghiên cứu từ Microsoft, nếu khai thác thành công lỗ hổng này, đặc biệt trong ứng dụng Microsoft Office, kẻ tấn công cần thực hiện một chuỗi khai thác phức tạp và có bật macro trong Office.
Quá trình khai thác bao gồm các bước sau:
- Xóa khóa bí mật cũ trong Keychain và thiết lập một khóa bí mật mới được kiểm soát bởi kẻ tấn công.
- Tính toán khóa mật mã cho ứng dụng mục tiêu bằng cách sử dụng Bundle ID và khóa mới.
- Tạo các mục security-scoped bookmarks giả mạo và ký chúng bằng khóa mới.
- Sử dụng API GrantAccessToMultipleFiles để gửi các bookmark giả mạo này đến ScopedBookmarkAgent, cơ quan xác thực các bookmark và cấp quyền truy cập.
- Thoát khỏi sandbox bằng cách sử dụng quyền truy cập tệp tùy ý đã được cấp.
Lỗ hổng nằm ở cách macOS xử lý security-scoped bookmarks- một cơ chế cho phép ứng dụng được sandbox truy cập file ngoài sandbox với sự cho phép rõ ràng từ người dùng. Bằng cách thao túng entry keychain com.apple.scopedbookmarksagent.xpc, kẻ tấn công có thể thay thế secret ký tên hiện tại bằng một giá trị đã biết, từ đó tạo và xác thực các entry của riêng mình trong file PLIST của scoped bookmarks.
Phát hiện của Microsoft xác nhận rằng kỹ thuật khai thác này có hiệu quả với bất kỳ ứng dụng sandbox nào sử dụng security-scoped bookmarks, khiến nó trở thành một phương thức vượt sandbox mang tính chất tổng quát trên macOS.
Apple đã phát hành bản vá cho CVE-2025-31191 trong đợt cập nhật bảo mật ngày 31/ 3/ 2025. Người dùng được khuyến cáo nên cập nhật ngay các bản vá này để bảo vệ hệ thống khỏi các nguy cơ khai thác thực tế.
Các chuyên gia khuyến nghị thêm người dùng:
- Cập nhật ngay hệ điều hành macOS lên phiên bản mới nhất.
- Rà soát các ứng dụng đang sử dụng security-scoped bookmarks.
- Với Microsoft Office, nên tắt macro nếu không thực sự cần thiết.
Theo Security Online
Chỉnh sửa lần cuối: