A Microsoft publicou na quinta-feira informações sobre uma vulnerabilidade na plataforma macOS da Apple que pode permitir que um invasor contorne o System Integrity Protection (SIP) e modifique os arquivos do sistema operacional.
Rastreado como CVE-2021-30892 e denominado “ Shrootless” pela Microsoft, a vulnerabilidade existe no método usado para instalar pacotes assinados pela Apple com scripts pós-instalação.
Para explorar a vulnerabilidade com êxito, o invasor precisa criar um arquivo especial que permita que eles sequestrem o processo de instalação de tais pacotes.
A Apple introduziu o SIP no macOS Yosemite para impedir que os usuários root executem ações que levem ao comprometimento da integridade do sistema, mas o erro de segurança recém-endereçado pode permitir que um invasor instale um driver de kernel malicioso (rootkit), implante malware persistente ou substitua arquivos do sistema.
Também conhecido como rootless, o SIP bloqueia o sistema desde a inicialização, para manter a plataforma protegida, e só pode ser modificado quando a máquina está em modo de recuperação.
A Apple também melhorou as restrições SIP para fortalecê-lo, mas incluiu várias exceções (direitos) para processos Apple específicos, como atualizações de sistema, que têm acesso irrestrito a diretórios protegidos por SIP.
O que a Microsoft descobriu foi que o direito ao daemon system_installd permite que os processos filho ignorem as restrições do sistema de arquivos SIP.
Esse é o caso dos pacotes assinados pela Apple (arquivos .pkg). Se scripts de pós-instalação forem incluídos no pacote, system_installd os executa invocando o shell padrão, zsh .
“Quando o zsh é iniciado, ele procura o arquivo /etc/zshenv e, se encontrado, executa comandos desse arquivo automaticamente, mesmo no modo não interativo. Portanto, para que os invasores executem operações arbitrárias no dispositivo, um caminho totalmente confiável que eles poderiam seguir seria criar um arquivo malicioso /etc/zshenv e esperar que o system_installd invoque o zsh ”, explica a Microsoft.
O gigante da tecnologia também explica que zshenv pode ser abusado como uma técnica de ataque geral, visto que há um equivalente de /etc/zshenv para cada usuário, “que tem a mesma função e comportamento, mas não requer permissões de root para gravar.”
A Apple corrigiu a vulnerabilidade com a macOS Big Sur 11.6.1 na atualização , que começou a ser lançada em 26 de outubro, contendo patches para 23 outras vulnerabilidades. Esta semana, a Apple também lançou o iOS 15.1 e o iPadOS 15.1 , com patches para 22 falhas de segurança.
Este artigo é uma tradução de: https://www.securityweek.com/shrootless-macos-vulnerability-found-microsoft-allows-rootkit-installation (Autor: Ionut Arghire )
