WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Microsoft phát hiện lỗ hổng Shrootless trong macOS cho phép cài đặt Rootkit
Microsoft vừa công bố thông tin về một lỗ hổng trong nền tảng macOS của Apple, có thể cho phép kẻ tấn công qua mặt công nghệ Bảo vệ toàn vẹn hệ thống SIP và sửa đổi các tệp hệ điều hành.
Lỗ hổng Shrootless, CVE-2021-30892, tồn tại trong phương pháp được sử dụng để cài đặt các gói đã được Apple ký bằng các tập lệnh sau khi cài đặt.
Để khai thác lỗ hổng, kẻ tấn công cần tạo một tệp đặc biệt cho phép chiếm quyền điều khiển quá trình cài đặt của các gói.
Apple đã giới thiệu SIP trong macOS Yosemite để hạn chế người dùng root thực hiện các thao tác dẫn đến xâm phạm tính toàn vẹn của hệ thống, nhưng lỗ hổng này có thể cho phép kẻ tấn công cài đặt trình điều khiển nhân độc hại (rootkit), triển khai phần mềm độc hại hoặc ghi đè các tệp hệ thống.
Còn được gọi là rootless, SIP khóa hệ thống khỏi thời gian khởi động, để giữ nền tảng được bảo vệ và chỉ có thể được sửa đổi khi thiết bị ở chế độ khôi phục.
Apple cũng cải thiện các giới hạn SIP để tối ưu công nghệ, bao gồm thêm một số ngoại lệ (quyền) cho các quy trình cụ thể của Apple, chẳng hạn như các bản cập nhật hệ thống, có quyền truy cập không hạn chế vào các thư mục được bảo vệ bằng SIP.
Microsoft phát hiện ra quyền dành cho daemon system_installd cho phép các tiến trình con vượt qua các giới hạn của hệ thống tệp SIP.
Sự cố xảy ra với các gói do Apple ký (tệp .pkg). Nếu các tập lệnh sau cài đặt được bao gồm trong gói, system_installd sẽ thực thi tập lệnh bằng cách gọi trình shell, zsh mặc định.
Microsoft giải thích: “Khi zsh khởi động, nó sẽ tìm kiếm tệp /etc/zshenv và nếu tìm thấy, nó sẽ tự động chạy các lệnh từ tệp đó, ngay cả trong chế độ không tương tác. Do đó, để thực hiện các thao tác tùy ý trên thiết bị, những kẻ tấn công có thể tạo một tệp /etc/zshenv độc hại và sau đó đợi system_installd gọi zsh”.
Microsoft cũng giải thích rằng zshenv có thể bị lợi dụng như một kỹ thuật tấn công chung vì mỗi người dùng có một tệp /etc/zshenv tương ứng, có cùng chức năng và hành vi nhưng không yêu cầu quyền root để ghi vào.
Apple đã xử lý lỗ hổng trong bản cập nhật macOS Big Sur 11.6.1, phát hành ngày 26/10, bao gồm cả các bản vá cho 23 lỗ hổng khác. Tuần này, Apple cũng đã phát hành iOS 15.1 và iPadOS 15.1, vá 22 lỗ hổng.
Lỗ hổng Shrootless, CVE-2021-30892, tồn tại trong phương pháp được sử dụng để cài đặt các gói đã được Apple ký bằng các tập lệnh sau khi cài đặt.
Để khai thác lỗ hổng, kẻ tấn công cần tạo một tệp đặc biệt cho phép chiếm quyền điều khiển quá trình cài đặt của các gói.
Apple đã giới thiệu SIP trong macOS Yosemite để hạn chế người dùng root thực hiện các thao tác dẫn đến xâm phạm tính toàn vẹn của hệ thống, nhưng lỗ hổng này có thể cho phép kẻ tấn công cài đặt trình điều khiển nhân độc hại (rootkit), triển khai phần mềm độc hại hoặc ghi đè các tệp hệ thống.
Còn được gọi là rootless, SIP khóa hệ thống khỏi thời gian khởi động, để giữ nền tảng được bảo vệ và chỉ có thể được sửa đổi khi thiết bị ở chế độ khôi phục.
Apple cũng cải thiện các giới hạn SIP để tối ưu công nghệ, bao gồm thêm một số ngoại lệ (quyền) cho các quy trình cụ thể của Apple, chẳng hạn như các bản cập nhật hệ thống, có quyền truy cập không hạn chế vào các thư mục được bảo vệ bằng SIP.
Microsoft phát hiện ra quyền dành cho daemon system_installd cho phép các tiến trình con vượt qua các giới hạn của hệ thống tệp SIP.
Sự cố xảy ra với các gói do Apple ký (tệp .pkg). Nếu các tập lệnh sau cài đặt được bao gồm trong gói, system_installd sẽ thực thi tập lệnh bằng cách gọi trình shell, zsh mặc định.
Microsoft giải thích: “Khi zsh khởi động, nó sẽ tìm kiếm tệp /etc/zshenv và nếu tìm thấy, nó sẽ tự động chạy các lệnh từ tệp đó, ngay cả trong chế độ không tương tác. Do đó, để thực hiện các thao tác tùy ý trên thiết bị, những kẻ tấn công có thể tạo một tệp /etc/zshenv độc hại và sau đó đợi system_installd gọi zsh”.
Microsoft cũng giải thích rằng zshenv có thể bị lợi dụng như một kỹ thuật tấn công chung vì mỗi người dùng có một tệp /etc/zshenv tương ứng, có cùng chức năng và hành vi nhưng không yêu cầu quyền root để ghi vào.
Apple đã xử lý lỗ hổng trong bản cập nhật macOS Big Sur 11.6.1, phát hành ngày 26/10, bao gồm cả các bản vá cho 23 lỗ hổng khác. Tuần này, Apple cũng đã phát hành iOS 15.1 và iPadOS 15.1, vá 22 lỗ hổng.
Nguồn: Security Week