Apple wprowadził System Integrity Protection (SIP) z OS X El Capitan w 2015 roku i zasadniczo dodaje wiele warstw zabezpieczeń, które blokują aplikacjom dostęp do plików systemowych i modyfikowanie ich na poziomie głównym. Chociaż użytkownicy mogą ręcznie wyłączyć tę funkcję, nie jest to łatwe. Ale Microsoft znalazł exploit, który może pozwolić atakującym ominąć SIP.
Microsoft szczegółowo opisuje, w jaki sposób znalazł exploita „Migraine” w systemie macOS
Jak firma udostępniła na swoim Blog o bezpieczeństwie, luka o nazwie „Migrena” może ominąć Ochronę integralności systemu macOS i doprowadzić do wykonania dowolnego kodu na urządzeniu. Exploit został tak nazwany, ponieważ jest powiązany z Asystentem migracji macOS, natywnym narzędziem, które pomaga użytkownikom przenosić dane z komputera Mac lub PC z systemem Windows na inny komputer Mac.
Jak wyjaśnił Microsoft, obejście SIP może prowadzić do „poważnych konsekwencji”, ponieważ daje atakującemu dostęp do wszystkich plików systemowych, co ułatwia instalację złośliwego oprogramowania i rootkitów. Exploit był w stanie to zrobić za pomocą specjalnego uprawnienia zaprojektowanego w celu zapewnienia nieograniczonego dostępu administratora do aplikacji Asystent migracji.
W normalnej sytuacji narzędzie Migration Assistant jest dostępne tylko podczas procesu konfiguracji nowego konta użytkownika, co oznacza, że hakerzy nie tylko muszą wymusić całkowite wylogowanie z systemu, ale także muszą mieć fizyczny dostęp do komputera. Aby jednak zademonstrować potencjalne ryzyko związane z tym exploitem, Microsoft pokazał, że istnieje sposób, aby z niego skorzystać, nie martwiąc się o wymienione wcześniej ograniczenia.
Oto jak to działa
Firma Microsoft zmodyfikowała narzędzie Migration Assistant, aby działało bez wylogowywania użytkownika. Ale modyfikacja aplikacji spowodowała awarię z powodu awarii współprojektowania. Następnie analitycy bezpieczeństwa uruchomili Asystenta ustawień (aplikację, która prowadzi użytkownika przez pierwszą konfigurację komputera Mac) w trybie debugowania, aby zignorować fakt, że Asystent migracji został zmodyfikowany i nie ma prawidłowego podpisu.
Ponieważ Asystent ustawień działał w trybie debugowania, badacze mogli z łatwością pominąć etapy procesu instalacji i przejść bezpośrednio do Asystenta migracji. Ale nawet działając w środowisku macOS, nadal wymagałoby to przywrócenia dysku i interakcji z interfejsem.
Aby wykorzystać exploita jeszcze bardziej, Microsoft stworzył małą kopię zapasową Time Machine o pojemności 1 GB, która może zawierać złośliwe oprogramowanie. Dlatego badacze stworzyli skrypt AppleScript, który automatycznie montował tę kopię zapasową i wchodził w interakcję z interfejsem Asystenta migracji bez wiedzy użytkownika. W rezultacie komputer Mac importował dane z tej złośliwej kopii zapasowej.
Czy powinieneś się martwić?
Na szczęście nie musisz się martwić, jeśli na komputerze Mac działa najnowsza wersja systemu macOS Ventura. To dlatego, że Microsoft poinformował Apple o exploicie, który został naprawiony za pomocą Aktualizacja systemu macOS 13.4 – udostępniony publicznie 18 maja. Apple podziękował naukowcom z Microsoftu strona bezpieczeństwa.
Jeśli jeszcze nie aktualizowałeś komputera Mac, jak najszybciej zainstaluj najnowszą wersję systemu macOS, przechodząc do opcji Ustawienia systemowe > Ogólne > Aktualizacja oprogramowania.
FTC: Używamy automatycznych linków partnerskich przynoszących dochód. Więcej.
