Cyberthreat.id - Microsoft membagikan rincian tentang kelemahan yang sekarang ditambal di Apple macOS. Aktor ancaman dapat memanfaatkan kelemahan tersebut dengan akses root untuk melewati penegakan keamanan dan melakukan tindakan sewenang-wenang pada perangkat yang terpengaruh.

Secara khusus, cacat tersebut – dijuluki Migraine dan dilacak sebagai CVE-2023-32369 – dapat disalahgunakan untuk menyiasati tindakan keamanan utama yang disebut Perlindungan Integritas Sistem - System Integrity Protection (SIP), atau "tanpa akar", yang membatasi tindakan yang dapat dilakukan pengguna root pada perangkat yang dilindungi.

"Implikasi langsung dari bypass SIP adalah [...] penyerang dapat membuat file yang dilindungi oleh SIP dan oleh karena itu tidak dapat dihapus dengan cara biasa," kata peneliti Microsoft Jonathan Bar Or, Michael Pearse, dan Anurag Bohra, sebagaimana dikutip The Hacker News.

Lebih buruk lagi, itu dapat dieksploitasi untuk mendapatkan eksekusi kode kernel yang sewenang-wenang dan bahkan mengakses data sensitif dengan mengganti database yang mengelola kebijakan Transparansi, Persetujuan, dan Kontrol (Transparency, Consent, and Control - TCC).

Jalan pintas dimungkinkan dengan memanfaatkan alat macOS bawaan yang disebut Migration Assistant untuk mengaktifkan proses migrasi melalui AppleScript yang dirancang untuk akhirnya meluncurkan muatan arbitrer.

Hal ini, pada gilirannya, berasal dari fakta bahwa systemmigrationd – daemon yang digunakan untuk menangani transfer perangkat – hadir dengan hak com.apple.rootless.install.heritable, memungkinkan semua proses turunannya, termasuk bash dan perl, melewati pemeriksaan SIP.

Akibatnya, aktor ancaman yang sudah memiliki kemampuan eksekusi kode sebagai root dapat memicu systemmigrationd untuk menjalankan perl, yang kemudian dapat digunakan untuk menjalankan skrip shell berbahaya saat proses migrasi sedang berlangsung.

Setelah pengungkapan yang bertanggung jawab, kerentanan telah diatasi oleh Apple sebagai bagian dari pembaruan (macOS Ventura 13.4, macOS Monterey 12.6.6, dan macOS Big Sur 11.7.7) yang dikirimkan pada 18 Mei 2023.

Pembuat iPhone menggambarkan CVE-2023-32369 sebagai masalah logika yang memungkinkan aplikasi jahat memodifikasi bagian sistem file yang dilindungi.

Migrain adalah tambahan terbaru dalam daftar bypass keamanan macOS yang telah didokumentasikan dengan nama Shrootless (CVE-2021-30892, skor CVSS: 5.5), powerdir (CVE-2021-30970, skor CVSS: 5.5), dan Achilles ( CVE-2022-42821, skor CVSS: 5.5).

"Implikasi dari bypass SIP yang sewenang-wenang sangat serius, karena potensi pembuat malware sangat signifikan," kata para peneliti.

"Melewati SIP dapat menyebabkan konsekuensi serius, seperti meningkatkan potensi penyerang dan pembuat malware untuk berhasil menginstal rootkit, membuat malware yang persisten, dan memperluas permukaan serangan untuk teknik dan eksploitasi tambahan."

Temuan itu muncul saat Jamf Threat Labs mengungkapkan rincian cacat kebingungan tipe di kernel macOS yang dapat dipersenjatai oleh aplikasi nakal yang diinstal pada perangkat untuk mengeksekusi kode arbitrer dengan hak istimewa kernel.

Diberi label ColdInvite (alias CVE-2023-27930), cacat "dapat dieksploitasi untuk memanfaatkan co-processor untuk mendapatkan hak baca/tulis ke kernel, memungkinkan aktor jahat untuk lebih dekat mewujudkan tujuan akhir mereka untuk sepenuhnya berkompromi. perangkat."[]