Apple kısa süre önce kök ayrıcalıklarına sahip saldırganların Sistem Bütünlüğü Korumasını (SIP) atlayarak “silinemez” kötü amaçlı yazılım yüklemesine ve Şeffaflık, Rıza ve Kontrol (TCC) güvenlik kontrollerini atlatarak kurbanın özel verilerine erişmesine olanak tanıyan bir güvenlik açığını ele aldı.
Microsoft güvenlik araştırmacılarından oluşan bir ekip tarafından keşfedilen ve Apple’a bildirilen kusur (adlı Migren) artık CVE-2023-32369 olarak izleniyor.
Apple, iki hafta önce 18 Mayıs’ta yayınlanan macOS Ventura 13.4, macOS Monterey 12.6.6 ve macOS Big Sur 11.7.7 güvenlik güncellemelerindeki güvenlik açığını yamaladı.
‘Köksüz’ olarak da bilinen Sistem Bütünlüğü Koruması (SIP), kök kullanıcı hesabına ve işletim sisteminin korumalı alanlarındaki yeteneklerine kısıtlamalar getirerek potansiyel olarak kötü amaçlı yazılımların belirli klasörleri ve dosyaları değiştirmesini önleyen bir macOS güvenlik mekanizmasıdır.
SIP, yalnızca Apple tarafından imzalanan veya Apple yazılım güncellemeleri ve yükleyiciler gibi özel yetkilere sahip olan süreçlerin macOS korumalı bileşenleri değiştirme yetkisine sahip olması gerektiği ilkesine göre çalışır.
Ayrıca, sistemi yeniden başlatmadan ve macOS Recovery’yi (yerleşik kurtarma sistemi) başlatmadan SIP’yi devre dışı bırakmanın bir yöntemi olmadığını da unutmamak gerekir; bu, güvenliği ihlal edilmiş bir cihaza fiziksel erişim gerektirir.
Ancak Microsoft’un araştırmacıları, kök izinlerine sahip saldırganların, com.apple.rootless.install’dan kaynaklanan SIP atlama yetenekleriyle systemmigrationd arka plan programını kullanan yerleşik bir macOS uygulaması olan macOS Migration Assistant yardımcı programını kötüye kullanarak SIP güvenlik uygulamasını atlayabileceğini keşfetti. kalıtsal hak.
Araştırmacılar, root izinlerine sahip saldırganların AppleScript ile geçiş sürecini otomatikleştirebileceğini ve sistemi yeniden başlatmadan ve macOS Recovery’den önyükleme yapmadan SIP’nin hariç tutulanlar listesine ekledikten sonra kötü amaçlı bir yük başlatabileceğini gösterdi.
“Apple tarafından imzalanan ve com.apple.rootless.install.heritable yetkilendirmesine sahip sistem süreçlerine odaklanarak, SIP kontrollerini atlayan bir güvenlik bağlamında keyfi kod yürütme elde etmek için kurcalanabilecek iki alt süreç bulduk.” Microsoft Tehdit İstihbaratı ekibi söyledi.
Rastgele SIP atlamaları, özellikle kötü amaçlı yazılım oluşturucuları tarafından istismar edildiğinde, standart silme yöntemleriyle kaldırılamayan SIP korumalı kötü amaçlı yazılım oluşturmak da dahil olmak üzere, kötü amaçlı kodun geniş kapsamlı etkilere sahip olmasını sağladığından, önemli riskler taşır.
Ayrıca saldırı yüzeyini büyük ölçüde genişletirler ve saldırganların rastgele çekirdek kodu yürütme yoluyla sistem bütünlüğüne müdahale etmelerine ve kötü niyetli işlemleri ve dosyaları güvenlik yazılımlarından gizlemek için potansiyel olarak rootkit’ler yüklemelerine izin verebilirler.
SIP korumasını atlamak ayrıca Şeffaflık, Rıza ve Kontrol (TCC) politikalarının tamamen atlanmasını sağlayarak tehdit aktörlerinin TCC veritabanlarının yerini almasına ve kurbanın özel verilerine sınırsız erişim verilmesine olanak tanır.
Bu, Microsoft araştırmacıları tarafından son yıllarda bildirilen bu türden ilk macOS güvenlik açığı değildir ve 2021’de bildirilen Shrootless adlı başka bir SIP bypass’ı, saldırganların güvenliği ihlal edilmiş Mac’lerde keyfi işlemler gerçekleştirmesine, ayrıcalıkları root’a yükseltmesine ve savunmasız cihazlara potansiyel olarak rootkit’ler yüklemesine olanak tanır.
Daha yakın bir zamanda, Microsoft baş güvenlik araştırmacısı Jonathan Bar Or, saldırganların Gatekeeper yürütme kısıtlamalarını atlayabilen güvenilmeyen uygulamalar aracılığıyla kötü amaçlı yazılım dağıtmak için yararlanabilecekleri Aşil olarak bilinen bir güvenlik açığı da buldu.
Saldırganların, kullanıcıların korumalı verilerine erişmek için Şeffaflık, Rıza ve Kontrol (TCC) teknolojisini atlamasına izin verebilecek başka bir macOS güvenlik açığı olan powerdir’i de keşfetti.