Detail Microsoft Kerentanan Penting Apple macOS Mengizinkan Bypass Perlindungan SIP
31 Mei 2023Ravie LakshmananKeamanan / Kerentanan Titik Akhir
Microsoft telah membagikan rincian kelemahan yang kini telah ditambal di Apple macOS yang dapat disalahgunakan oleh pelaku ancaman dengan akses root untuk menerobos penegakan keamanan dan melakukan tindakan sewenang-wenang pada perangkat yang terpengaruh.
Secara khusus, kekurangannya – dijuluki Migrain dan dilacak sebagai CVE-2023-32369 – dapat disalahgunakan untuk mengakali tindakan keamanan utama yang disebut Perlindungan Integritas Sistem (SIP), atau “tanpa root”, yang membatasi tindakan yang dapat dilakukan pengguna root pada file dan folder yang dilindungi.
“Implikasi langsung dari bypass SIP adalah hal tersebut […] penyerang dapat membuat file yang dilindungi oleh SIP dan oleh karena itu tidak dapat dihapus dengan cara biasa,” kata peneliti Microsoft Jonathan Bar Or, Michael Pearse, dan Anurag Bohra.
Lebih buruk lagi, hal ini dapat dieksploitasi untuk mendapatkan eksekusi kode kernel secara sewenang-wenang dan bahkan mengakses data sensitif dengan menggantikan database yang mengelola kebijakan Transparansi, Persetujuan, dan Kontrol (TCC).
Bypass ini dimungkinkan dengan memanfaatkan alat macOS bawaan yang disebut Migration Assistant untuk mengaktifkan proses migrasi melalui AppleScript yang pada akhirnya dirancang untuk meluncurkan muatan sewenang-wenang.
Hal ini, pada gilirannya, berasal dari fakta bahwa systemmigrationd – daemon yang digunakan untuk menangani transfer perangkat – dilengkapi dengan hak com.apple.rootless.install.heritable, yang memungkinkan semua proses turunannya, termasuk bash dan Perl, untuk melewati pemeriksaan SIP.
Akibatnya, pelaku ancaman yang sudah memiliki kemampuan eksekusi kode sebagai root dapat memicu systemmigrationd untuk menjalankan Perl, yang kemudian dapat digunakan untuk menjalankan skrip shell berbahaya saat proses migrasi sedang berlangsung.
Setelah pengungkapan yang bertanggung jawab, kerentanan telah diatasi oleh Apple sebagai bagian dari pembaruan (macOS Ventura 13.4, macOS Monterey 12.6.6, dan macOS Big Sur 11.7.7) yang dikirimkan pada 18 Mei 2023.
Pembuat iPhone menggambarkan CVE-2023-32369 sebagai masalah logika yang memungkinkan aplikasi jahat mengubah bagian sistem file yang dilindungi.
Migrain adalah tambahan terbaru pada daftar bypass keamanan macOS yang telah didokumentasikan dengan nama Shrootless (CVE-2021-30892, skor CVSS: 5.5), powerdir (CVE-2021-30970, skor CVSS: 5.5), dan Achilles ( CVE-2022-42821, skor CVSS: 5.5).
“Implikasi dari bypass SIP yang sewenang-wenang sangatlah serius, karena potensi pembuat malware sangat besar,” kata para peneliti.
“Melewati SIP dapat menimbulkan konsekuensi serius, seperti meningkatkan potensi penyerang dan pembuat malware untuk berhasil menginstal rootkit, membuat malware yang persisten, dan memperluas permukaan serangan untuk teknik dan eksploitasi tambahan.”
Temuan ini muncul ketika Jamf Threat Labs mengungkapkan rincian kesalahan kebingungan tipe pada kernel macOS yang dapat dijadikan senjata oleh aplikasi jahat yang diinstal pada perangkat untuk mengeksekusi kode arbitrer dengan hak istimewa kernel.
Diberi label ColdInvite (alias CVE-2023-27930), kelemahan ini “dapat dieksploitasi untuk memanfaatkan co-prosesor guna mendapatkan hak istimewa baca/tulis pada kernel, sehingga memungkinkan pelaku kejahatan semakin dekat untuk mewujudkan tujuan akhir mereka yaitu melakukan kompromi sepenuhnya.” perangkat.”
Apakah artikel ini menarik? Ikuti kami di Twitter dan LinkedIn untuk membaca lebih banyak konten eksklusif yang kami posting.
