Skip to main content

Эксплойт macOS, обнаруженный Microsoft, может обойти защиту целостности системы

Apple представила System Integrity Protection (SIP) с OS X El Capitan в 2015 году, и она, по сути, добавляет несколько уровней безопасности, которые блокируют доступ приложений к системным файлам и их изменение на корневом уровне. Хотя пользователи могут вручную отключить эту функцию, сделать это не так-то просто. Но Microsoft нашла эксплойт, позволяющий злоумышленникам обходить SIP.

Microsoft рассказала, как обнаружила эксплойт «Мигрень» в macOS

Как компания сообщила в своем блоге о безопасности, уязвимость под названием «Мигрень» может обойти защиту целостности системы macOS и привести к выполнению произвольного кода на устройстве. Эксплойт назван так потому, что он связан с помощником по миграции macOS, встроенным инструментом, который помогает пользователям перемещать данные с компьютера Mac или Windows на другой Mac.

Как пояснили в Microsoft, обход SIP может привести к «серьезным последствиям», поскольку это дает злоумышленникам доступ ко всем системным файлам, что упрощает установку вредоносных программ и руткитов. Эксплойт смог сделать это, используя специальное право, предназначенное для предоставления неограниченного root-доступа к приложению Migration Assistant.

В обычной ситуации инструмент Migration Assistant доступен только во время процесса настройки новой учетной записи пользователя, а это означает, что хакерам необходимо не только принудительно выполнить полный выход из системы, но и иметь физический доступ к компьютеру. Но чтобы продемонстрировать потенциальный риск этого эксплойта, Microsoft показала, что есть способ воспользоваться им, не беспокоясь об ограничениях, перечисленных ранее.

вот как это работает

Microsoft изменила утилиту Migration Assistant, чтобы она работала без выхода пользователя из системы. Но изменение приложения привело к его сбою из-за ошибки кода. Затем исследователи безопасности запустили Setup Assistant (приложение, которое помогает пользователю выполнить первую настройку Mac) в режиме отладки, чтобы он игнорировал тот факт, что Migration Assistant был изменен и не имеет действительной подписи.

Эксплойт macOS, обнаруженный Microsoft, может обойти защиту целостности системы

Поскольку Ассистент настройки работал в режиме отладки, исследователи могли легко пропустить этапы процесса установки и сразу перейти к Ассистент миграции. Но даже работая в среде macOS, это все равно потребует наличия диска для восстановления и взаимодействия с интерфейсом.

Чтобы продвинуть эксплойт еще дальше, Microsoft создала небольшую резервную копию Time Machine объемом 1 ГБ, на которой может быть вредоносное ПО. Поэтому исследователи создали AppleScript, который автоматически монтировал эту резервную копию и взаимодействовал с интерфейсом Migration Assistant, даже не замечая пользователя. В результате Mac будет импортировать данные из этой вредоносной резервной копии.

Стоит ли волноваться?

К счастью, вам не нужно беспокоиться, если на вашем Mac установлена ​​последняя версия macOS Ventura. Это связано с тем, что Microsoft проинформировала Apple об эксплойте, который был исправлен в обновлении macOS 13.4, выпущенном для широкой публики 18 мая. Apple поблагодарила исследователей Microsoft на своей веб-странице безопасности.

Если вы еще не обновили свой Mac, как можно скорее установите последнюю версию macOS, выбрав «Системные настройки» > «Основные» > «Обновление ПО».