Реализованный в OS X El Capitan механизм защиты целостности системы (System Integrity Protection, SIP) налагает ограничения на действия, которые может совершать суперпользователь Mac-компьютера с системными папками и приложениями.
Выступая на конференции SysCan360 в Сингапуре, исследователь из SentinelOne раскрыл подробности уязвимости, позволяющей обойти эту защиту. На настоящий момент эта брешь пропатчена лишь в новейшей версии El Capitan.
По словам Педро Виласы (Pedro Vilaça), данная уязвимость позволяет повысить локальные привилегии на любой версии OS X, кроме только что вышедшей El Capitan 10.11.4. «Этот не связанный с порчей памяти баг присутствует во всех версиях OS X, позволяя исполнить произвольный код на любом бинарнике, — пишет исследователь в блоге SentinelOne. — SIP — это новый механизм, призванный предотвращать модификацию защищенных файлов и папок потенциально вредоносным ПО, другими словами, защищать систему от всех пользователей, имеющих root-доступ, авторизованных и неавторизованных».
По свидетельству Виласы, эксплуатация данной бреши требует присутствия атакующего на уязвимом компьютере; его придется обеспечить отдельной атакой. «Этот же эксплойт позволяет повысить привилегии, а также обойти защиту целостности системы, — рассказывает далее эксперт. — Таким образом, защитный механизм OS X, призванный ограждать пользователей от вредоносного ПО, может быть использован для обеспечения постоянства заражения. Это уязвимость логики, очень надежно работающая и исправно воспроизводимая, причем не вызывающая сбой машины или процессов. Такие эксплойты обычно используются в целевых или спонсируемых правительством атаках».
Старший ИБ-эксперт Rapid7 Гийом Росс (Guillaume Ross) расширил это описание, отметив, что, поскольку это локальная атака, злоумышленник может использовать данную уязвимость для горизонтального продвижения по сети. «Эта уязвимость особенно опасна для системных администраторов, контролирующих OS X-серверы, доступные множеству пользователей через SSH или видеосвязь, а также для OS X-компьютеров общего пользования, например школьных, — подчеркнул Росс. — Ею могут воспользоваться легитимные юзеры, чтобы повысить свои привилегии и перехватить контроль над системой или данными других пользователей».
«Баги повышения привилегий, как этот, часто используются на втором этапе атаки, когда первый уже позади или вредоносное ПО захватило контроль над системой и теперь нужно расширить доступ к информации или произвести дальнейшие модификации, — добавляет эксперт. — Чтобы применить эксплойт, нужна какая-то зацепка — к примеру, уже проникший в систему зловред, другая уязвимость, допускающая удаленный эксплойт, или легальный доступ к компьютеру».
Виласа со своей стороны также отметил, что такой эксплойт будет трудно обнаружить. «Данный эксплойт характерен тем, что позволяет обходить защиту и использует очень надежные и стабильно воспроизводимые техники, которые не обнаруживаются традиционными механизмами детектирования, которым нужны более явные признаки опасности», — пояснил исследователь.
Axarhöfði 14,
110 Reykjavik, Iceland