خبر

  • تک بورد - مایکروسافت از آسیب‌پذیری «شروت‌لس» در سیستم عامل macOS با دور زدن SIP خبر می‌دهد

    مایکروسافت از آسیب‌پذیری «شروت‌لس» در سیستم عامل macOS با دور زدن SIP خبر می‌دهد
    9 روز و 11 ساعت قبل

    اکسپلویت مبتنی بر وراثت مجوز SIP توسط اپل در 26 اکتبر وصله شد.
    تیم تحقیقاتی Microsoft 365 Defender دیروز یک پست وبلاگی منتشر کرد که در آن آسیب‌پذیری جدید MacOS را تشریح می‌کند که می‌تواند از وراثت حق در حفاظت از یکپارچگی سیستم (SIP) macOS سوء استفاده کند تا امکان اجرا را فراهم کند. کد دلخواه با امتیاز سطح ریشه. این آسیب‌پذیری به‌عنوان CVE-2021-30892 فهرست شده است و نام مستعار «شروت‌لس» به آن دا

    برای توضیح نحوه عملکرد Shrootless، باید نحوه عملکرد SIP را بررسی کنیم. SIP که در سال 2015 با OS X 10.11 El Capitan معرفی شد (و با جزئیات دقیق در صفحات هشت و نه بررسی ما توضیح داده شد)، تلاش می‌کند تا با افزودن سطح هسته، یک کلاس کامل از آسیب‌پذیری‌ها را برطرف کند (یا حداقل اثربخشی آنها را خنثی کند). محافظت در برابر تغییر فایل‌های خاص روی دیسک و فرآیندهای خاص در حافظه، حتی با دسترسی روت. این حفاظت‌ها (کم و بیش) غیرقابل تعرض هستند مگر اینکه شخص SIP را غیرفعال کند، که بدون راه‌اندازی مجدد در حالت بازیابی و اجرای یک فرمان ترمینال امکان‌پذیر نیست.

    اکسپلویت Shrootless از این واقعیت استفاده می‌کند که در حالی که امتیاز root وجود ندارد. زمانی که برای تغییر فایل‌های مهم سیستم کافی است، خود هسته همچنان می‌تواند مکان‌های محافظت‌شده را در صورت نیاز تغییر دهد - و انجام می‌دهد. واضح ترین مثال هنگام نصب یک برنامه است. بسته‌های نصب برنامه‌های امضا شده توسط اپل توانایی انجام کارهایی را دارند که معمولاً توسط SIP ممنوع هستند، و اینجاست که Shrootless اسلاید می‌کند.

    عواقب ناخواسته

    همانطور که توسط جاناتان بار، محقق ارشد امنیتی مایکروسافت توضیح داده شده است. در این پست، SIP باید بتواند به طور موقت به بسته های نصب کننده مصونیت از SIP بدهد تا مواردی را نصب کند، و این کار را با ارائه آن مصونیت موقت از طریق یک سیستم ارثی داخلی انجام می دهد:

    تبلیغات

    در حین ارزیابی فرآیندهای macOS که حق دور زدن حفاظت‌های SIP را دارند، با سیستم daemon system_installd مواجه شدیم که دارای حق com.apple.rootless.install.inheritable قدرتمند است. با این حق، هر فرآیند فرزند system_installd می‌تواند محدودیت‌های سیستم فایل SIP را به کلی دور بزند.

    این به خودی خود خیلی ترسناک نیست، زیرا در یک روز عادی، نباید چیزی ترسناک ایجاد شود. خارج از دیمون system_installd. با این حال، همانطور که در پست Or ذکر شده است، برخی از بسته‌های نصب حاوی اسکریپت‌های پس از نصب هستند و macOS آن اسکریپت‌های پس از نصب را با ایجاد نمونه‌ای از پوسته سیستم پیش‌فرض اجرا می‌کند، که از کاتالینا zsh است. هنگامی که یک نمونه zsh توسط نصب‌کننده ایجاد می‌شود، به‌طور خودکار فایل راه‌اندازی خود را در /etc/zshenv اجرا می‌کند—و مشکل این است، زیرا اگر مهاجم قبلاً آن فایل را تغییر داده باشد، هر تغییری که مهاجم انجام داده است توسط zsh با com اجرا می‌شود. apple.rootless.install.inheritlement.

    یا موارد را به این صورت خلاصه می کند:

    به طور کلی، zshenv می تواند به صورت زیر استفاده شود:

    یک مکانیسم پایداری. می‌تواند به سادگی منتظر شروع zsh باشد (چه در سطح جهانی تحت /etc یا برای هر کاربر). مکانیسم افزایش امتیاز. وقتی کاربر سرپرست با استفاده از sudo -s یا sudo به روت می‌رود، فهرست خانه تغییر نمی‌کند. بنابراین، قرار دادن یک فایل ~/.zshenv به عنوان ادمین و منتظر ماندن برای استفاده از sudo توسط ادمین، فایل ~/.zshenv را فعال می‌کند و از این رو به روت ارتقا می‌یابد.

    طبق CVE، این آسیب‌پذیری قبلاً در هر سه نسخه پشتیبانی‌شده فعلی macOS (Monterey 12.0.1، Catalina با به‌روزرسانی امنیتی 2021-007 و Big Sur 11.6.1) اصلاح شده است. نسخه‌های پشتیبانی‌نشده قدیمی‌تر OS X با SIP - که به معنای OS X 10.11 و نسخه‌های جدیدتر است - ممکن است همچنان آسیب‌پذیر باشند، اگرچه احتمالاً بستگی به این دارد که آیا اسکریپت‌های پس از نصب که با bash اجرا می‌شوند مانند zsh رفتار می‌کنند یا نه.

    در پست وبلاگ Or به این موضوع اشاره نشده است که آیا اپل به مایکروسافت پاداش باگ پرداخت کرده است یا خیر.





خبرهای دیگر از گجت ها