Lỗ hổng Shrootless mới cho phép kẻ tấn công cài đặt Rootkit trên hệ điều hành MacOS

www.tuoitre.vn -   02/11/2021 08:00:00 1165

Microsoft hôm thứ Năm đã tiết lộ chi tiết về một lỗ hổng mới có thể cho phép kẻ tấn công vượt qua các hạn chế bảo mật trong macOS và kiểm soát hoàn toàn thiết bị để thực hiện các hoạt động tùy ý trên thiết bị mà không bị các giải pháp bảo mật truyền thống gắn cờ cảnh báo.

Microsoft hôm thứ Năm đã tiết lộ chi tiết về một lỗ hổng mới có thể cho phép kẻ tấn công vượt qua các hạn chế bảo mật trong macOS và kiểm soát hoàn toàn thiết bị để thực hiện các hoạt động tùy ý trên thiết bị mà không bị các giải pháp bảo mật truyền thống gắn cờ cảnh báo.

Được đặt tên là "Shrootless" và được theo dõi là CVE-2021-30892, "lỗ hổng nằm ở cách các gói do Apple ký với các tập lệnh sau khi cài đặt được cài đặt", Jonathan Bar Or của Nhóm Nghiên cứu Bộ bảo vệ Microsoft 365 cho biết trong một bài viết kỹ thuật. "Một tác nhân độc hại có thể tạo ra một tệp được chế tạo đặc biệt để chiếm đoạt quá trình cài đặt."

Bảo vệ toàn vẹn hệ thống (SIP) hay còn gọi là "rootless" là một tính năng bảo mật được giới thiệu trong OS X El Capitan được thiết kế để bảo vệ hệ điều hành macOS bằng cách hạn chế người dùng root thực thi mã trái phép hoặc thực hiện các hoạt động có thể ảnh hưởng đến tính toàn vẹn của hệ thống.

Cụ thể, SIP cho phép sửa đổi các phần được bảo vệ của hệ thống - chẳng hạn như / System, / usr, / bin, / sbin và / var - chỉ bằng các quy trình được ký bởi Apple hoặc những quy trình có quyền đặc biệt để ghi vào tệp hệ thống, như các bản cập nhật phần mềm của Apple và trình cài đặt của Apple, đồng thời tự động cho phép các ứng dụng được tải xuống từ Mac App Store.

Microsoft hôm thứ Năm đã tiết lộ chi tiết về một lỗ hổng mới có thể cho phép kẻ tấn công vượt qua các hạn chế bảo mật trong macOS và kiểm soát hoàn toàn thiết bị để thực hiện các hoạt động tùy ý trên thiết bị mà không bị các giải pháp bảo mật truyền thống gắn cờ cảnh báo.

Cuộc điều tra của Microsoft về công nghệ bảo mật đã xem xét các quy trình macOS có quyền bỏ qua các bảo vệ SIP, dẫn đến việc phát hiện ra một daemon cài đặt phần mềm có tên "system_installd" cho phép bất kỳ quy trình con nào của nó hoàn toàn vượt qua các hạn chế của hệ thống tệp SIP.

Do đó, khi một gói do Apple ký điện tử đang được cài đặt, nó sẽ gọi daemon system_installd, đến lượt nó, thực thi bất kỳ tập lệnh sau cài đặt nào có trong gói bằng cách gọi một trình bao mặc định, đó là Z shell (zsh) trên macOS.

“Điều thú vị là khi zsh khởi động, nó sẽ tìm kiếm tệp / etc / zshenv và - nếu được tìm thấy - tự động chạy các lệnh từ tệp đó, ngay cả trong chế độ không tương tác,” Bar Or nói. "Do đó, để những kẻ tấn công thực hiện các thao tác tùy ý trên thiết bị, một con đường hoàn toàn đáng tin cậy mà chúng có thể thực hiện là tạo một tệp / etc / zshenv độc hại và sau đó đợi system_installd gọi ra zsh."

Việc khai thác thành công CVE-2021-30892 có thể cho phép ứng dụng độc hại sửa đổi các phần được bảo vệ của hệ thống tệp, bao gồm khả năng cài đặt trình điều khiển hạt nhân độc hại (còn gọi là rootkit), ghi đè tệp hệ thống hoặc cài đặt phần mềm độc hại liên tục, không thể phát hiện. Apple cho biết họ đã khắc phục sự cố bằng các hạn chế bổ sung như một phần của bản cập nhật bảo mật được phát hành vào ngày 26 tháng 10 năm 2021.

“Công nghệ bảo mật như SIP trong các thiết bị macOS vừa đóng vai trò là biện pháp bảo vệ cơ bản được tích hợp sẵn của thiết bị vừa là tuyến phòng thủ cuối cùng chống lại phần mềm độc hại và các mối đe dọa an ninh mạng khác,” Bar Or nói. "Thật không may, những kẻ độc hại tiếp tục tìm ra những cách sáng tạo để vi phạm những rào cản này vì những lý do tương tự."

Hương - Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

1 tiện ích Chrome nhiễm mã độc có 280 tr...

04/02/2025 12:00:00 110
SNE tồn tại lâu nhất lên tới 8,5 năm, được gọi là TeleApp, được cập nhật lần cuối vào ngày 13 tháng ...

Không đảm bảo về bảo mật và kiểm duyệt, ...

04/02/2025 12:00:00 128
DeepSeek đi kèm với nhiều phiền toái và cách kiểm duyệt phản hồi cũng rất khắt khe. Vậy tại sao mọi ...

Ứng dụng AI - DeepSeek bị hack và rò rỉ ...

03/02/2025 12:00:00 115
Không chỉ ghi lại địa chỉ email, IP, lịch sử trò chuyện, DeepSeek còn thu thập những thông tin đáng ...

Router Wi-Fi hiệu TP-Link có thể bị Mỹ c...

03/02/2025 12:00:00 86
Chính phủ nghi ngờ các router TP-Link đang bị Trung Quốc khai thác trong những cuộc tấn công mạng và...

Tính năng tìm kiếm mới trên Windows 11 g...

03/02/2025 12:00:00 47
Microsoft đang tích hợp chức năng tìm kiếm của Google Photos vào OneDrive Photos Windows 11.

Lừa đảo quảng cáo độc hại sử dụng Quảng ...

30/01/2025 08:00:00 49
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch quảng cáo độc hại nhắm vào các nhà qu...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ

Zalo Button