Shrootless: bug in macOS scoperto da Microsoft

Shrootless: bug in macOS scoperto da Microsoft

La vulnerabilità Shrootless, scoperta da Microsoft in macOS e già risolta da Apple, consentiva di accedere ai file e alle directory di sistema.
La vulnerabilità Shrootless, scoperta da Microsoft in macOS e già risolta da Apple, consentiva di accedere ai file e alle directory di sistema.

Microsoft ha scoperto una vulnerabilità in macOS che permette di aggirare la tecnologia SIP (System Integrity Protection) ed eseguire varie operazioni, ottenere i privilegi di root e installare rootkit. Dopo aver ricevuto la segnalazione dall'azienda di Redmond, Apple ha corretto il bug con gli aggiornamenti per Catalina, Big Sur e Monterey rilasciati il 26 ottobre.

Shrootless: vulnerabilità in macOS

SIP (System Integrity Protection) è una tecnologia che impedisce all'utente root di eseguire operazioni che possono compromettere l'integrità del sistema. Una delle restrizioni impedisce modifiche al file system, ovvero l'accesso a determinati file e directory. Queste limitazioni non sono valide per gli aggiornamenti che (ovviamente) devono accedere alle directory protette da SIP. Apple ha quindi assegnato “permessi speciali” (diritti di scrittura) ad alcuni processi firmati.

Microsoft ha scoperto la vulnerabilità Shrootless nella procedura di installazione dei pacchetti .pkg firmati da Apple. Quando viene avviata la procedura, macOS invoca il daemon system_installd. Se il pacchetto include uno script post-installazione, il daemon invoca la shell predefinita zsh che cerca il file /etc/zshenv. Se trovato, zsh esegue i comandi presenti nel file in maniera automatica. Un malintenzionato deve solo creare un file /etc/zshenv che contiene i comandi per accedere alle directory di sistema.

Aggirando la protezione SIP è possibile installare un rootkit, sovrascrivere i file di sistema e installare un malware persistente che non viene rilevato. Fortunatamente Apple ha subito eliminato la falla di sicurezza.

Fonte: Microsoft
Link copiato negli appunti

Ti potrebbe interessare

29 10 2021
Link copiato negli appunti