Phát hiện lỗ hổng Shrootless trong macOS cho phép cài đặt Rootkit

16:27 | 10/11/2021
Phương Thanh (Theo The Hacker News)

Microsoft vừa công bố thông tin về một lỗ hổng trong nền tảng macOS có thể cho phép kẻ tấn công vượt qua các hạn chế bảo mật và kiểm soát hoàn toàn thiết bị để thực hiện các hoạt động tùy ý.

Lỗ hổng Shrootless có định danh CVE-2021-30892 tồn tại trong phương thức được sử dụng để cài đặt các gói đã được Apple ký bằng các tập lệnh sau khi cài đặt. Kẻ tấn công khai thác lỗ hổng bằng cách tạo một tệp đặc biệt cho phép chiếm quyền điều khiển quá trình cài đặt của các gói.

Apple đã giới thiệu một tính năng bảo mật có tên là Bảo vệ toàn vẹn hệ thống (SIP) hay còn gọi là rootless. Tính năng này hạn chế người dùng thực thi mã trái phép hoặc thực hiện các hoạt động có thể ảnh hưởng đến tính toàn vẹn của hệ thống.

Cụ thể, SIP cho phép sửa đổi các phần được bảo vệ của hệ thống chẳng hạn như /System, /usr, /bin, /sbin và /var chỉ bằng các quy trình được ký bởi Apple hoặc những quy trình có quyền đặc biệt để ghi vào tệp hệ thống, như các bản cập nhật phần mềm của Apple và trình cài đặt của Apple. Đồng thời, tự động cho phép các ứng dụng được tải xuống từ Mac App Store. Apple cũng cải thiện các giới hạn SIP để tối ưu công nghệ, bao gồm thêm một số quyền cho các quy trình cụ thể của Apple, chẳng hạn như các bản cập nhật hệ thống, có quyền truy cập không hạn chế vào các thư mục được bảo vệ bằng SIP.

Cuộc điều tra của Microsoft đã phát hiện ra một daemon system_installd có quyền cho phép các tiến trình con vượt qua các giới hạn của hệ thống tệp SIP khi một gói do Apple ký đang được cài đặt, daemon system_installd thực thi tập lệnh bằng cách gọi trình shell, zsh mặc định.

Microsoft cho biết: “Khi zsh khởi động, nó sẽ tìm kiếm tệp /etc/zshenv và nếu tìm thấy, sẽ tự động chạy các lệnh từ tệp đó, ngay cả trong chế độ không tương tác. Do đó, để thực hiện các thao tác tùy ý trên thiết bị, những kẻ tấn công có thể tạo một tệp /etc/zshenv độc hại và sau đó đợi system_installd gọi zsh”.

Việc khai thác thành công CVE-2021-30892 cho phép ứng dụng độc hại có thể sửa đổi các phần được bảo vệ của hệ thống tệp, bao gồm khả năng cài đặt trình điều khiển hạt nhân độc hại, ghi đè tệp hệ thống hoặc cài đặt phần mềm độc hại liên tục và không thể bị phát hiện.

Về phía Apple, hãng đã xử lý lỗ hổng trong bản cập nhật phát hành ngày 26/10.