{"id":19071,"date":"2021-10-29T20:18:34","date_gmt":"2021-10-29T23:18:34","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=19071"},"modified":"2025-12-22T22:42:33","modified_gmt":"2025-12-23T01:42:33","slug":"shrootless-vulnerabilidade-do-macos-encontrada-pela-microsoft-permite-a-instalacao-de-rootkit","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2021\/10\/exploits\/shrootless-vulnerabilidade-do-macos-encontrada-pela-microsoft-permite-a-instalacao-de-rootkit\/","title":{"rendered":"Shrootless: Vulnerabilidade do macOS encontrada pela Microsoft permite a instala\u00e7\u00e3o de rootkit"},"content":{"rendered":"\n<p style=\"text-align: justify;\"><strong><span>A Microsoft publicou na quinta-feira informa\u00e7\u00f5es sobre uma vulnerabilidade na plataforma macOS da Apple que pode permitir que um invasor contorne o System Integrity Protection (SIP) e modifique os arquivos do sistema operacional. <\/span><\/strong><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>Rastreado como CVE-2021-30892 e denominado \u201c <\/span><span>Shrootless<\/span><span>\u201d pela Microsoft, a vulnerabilidade existe no m\u00e9todo usado para instalar pacotes assinados pela Apple com scripts p\u00f3s-instala\u00e7\u00e3o. <\/span><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>Para explorar a vulnerabilidade com \u00eaxito, o invasor precisa criar um arquivo especial que permita que eles sequestrem o processo de instala\u00e7\u00e3o de tais pacotes. <\/span><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>A Apple introduziu o SIP no macOS Yosemite para impedir que os usu\u00e1rios root executem a\u00e7\u00f5es que levem ao comprometimento da integridade do sistema, mas o erro de seguran\u00e7a rec\u00e9m-endere\u00e7ado pode permitir que um invasor instale um driver de kernel malicioso (rootkit), implante malware persistente ou substitua arquivos do sistema.<\/span><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>Tamb\u00e9m conhecido como rootless, o SIP bloqueia o sistema desde a inicializa\u00e7\u00e3o, para manter a plataforma protegida, e s\u00f3 pode ser modificado quando a m\u00e1quina est\u00e1 em modo de recupera\u00e7\u00e3o. <\/span><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>A Apple tamb\u00e9m melhorou as restri\u00e7\u00f5es SIP para fortalec\u00ea-lo, mas incluiu v\u00e1rias exce\u00e7\u00f5es (direitos) para processos Apple espec\u00edficos, como atualiza\u00e7\u00f5es de sistema, que t\u00eam acesso irrestrito a diret\u00f3rios protegidos por SIP. <\/span><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>O que a Microsoft descobriu foi que o direito ao daemon <\/span><em><span>system_installd <\/span><\/em><span>permite que os processos filho ignorem as restri\u00e7\u00f5es do sistema de arquivos SIP. <\/span><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>Esse \u00e9 o caso dos pacotes assinados pela Apple (arquivos .pkg). Se scripts de p\u00f3s-instala\u00e7\u00e3o forem inclu\u00eddos no pacote, <\/span><em><span>system_installd os <\/span><\/em><span>executa invocando o shell padr\u00e3o, <\/span><em><span>zsh <\/span><\/em><span>. <\/span><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>\u201cQuando o zsh \u00e9 iniciado, ele procura o arquivo \/etc\/zshenv e, se encontrado, executa comandos desse arquivo automaticamente, mesmo no modo n\u00e3o interativo. Portanto, para que os invasores executem opera\u00e7\u00f5es arbitr\u00e1rias no dispositivo, um caminho totalmente confi\u00e1vel que eles poderiam seguir seria criar um arquivo malicioso <\/span><em><span>\/etc\/zshenv <\/span><\/em><span>e esperar que o system_installd invoque o zsh \u201d, explica a Microsoft. <\/span><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>O gigante da tecnologia tamb\u00e9m explica que zshenv pode ser abusado como uma t\u00e9cnica de ataque geral, visto que h\u00e1 um equivalente de <\/span><em><span>\/etc\/zshenv <\/span><\/em><span>para cada usu\u00e1rio, \u201cque tem a mesma fun\u00e7\u00e3o e comportamento, mas n\u00e3o requer permiss\u00f5es de root para gravar.\u201d <\/span><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>A Apple corrigiu a vulnerabilidade com a <\/span><span>macOS Big Sur 11.6.1 na <\/span><span>atualiza\u00e7\u00e3o , que come\u00e7ou a ser lan\u00e7ada em 26 de outubro, contendo patches para 23 outras vulnerabilidades. Esta semana, a Apple tamb\u00e9m lan\u00e7ou o <\/span><span>iOS 15.1 e o iPadOS 15.1 <\/span><span>, com patches para 22 falhas de seguran\u00e7a. <\/span><\/p>\n<p>\u00a0<\/p>\n<p>Este artigo \u00e9 uma tradu\u00e7\u00e3o de:<a href=\"https:\/\/www.securityweek.com\/shrootless-macos-vulnerability-found-microsoft-allows-rootkit-installation\" target=\"_blank\" rel=\"noopener\"> https:\/\/www.securityweek.com\/shrootless-macos-vulnerability-found-microsoft-allows-rootkit-installation<\/a>\u00a0 (Autor: Ionut Arghire )<\/p>\n\n\n\n\n","protected":false},"excerpt":{"rendered":"<p>A Microsoft publicou na quinta-feira informa\u00e7\u00f5es sobre uma vulnerabilidade na plataforma macOS da Apple que pode permitir que um invasor contorne o System Integrity Protection (SIP) e modifique os arquivos do sistema operacional. \u00a0 Rastreado como CVE-2021-30892 e denominado \u201c Shrootless\u201d pela Microsoft, a vulnerabilidade existe no m\u00e9todo usado para instalar pacotes assinados pela Apple [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":19074,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,21,105],"tags":[],"class_list":["post-19071","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-exploits","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19071","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=19071"}],"version-history":[{"count":1,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19071\/revisions"}],"predecessor-version":[{"id":19072,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19071\/revisions\/19072"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/19074"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=19071"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=19071"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=19071"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}