Lỗ hổng Shrootless có định danh CVE-2021-30892 tồn tại trong phương thức được sử dụng để cài đặt các gói đã được Apple ký bằng các tập lệnh sau khi cài đặt. Kẻ tấn công khai thác lỗ hổng bằng cách tạo một tệp đặc biệt cho phép chiếm quyền điều khiển quá trình cài đặt của các gói.
Apple đã giới thiệu một tính năng bảo mật có tên là Bảo vệ toàn vẹn hệ thống (SIP) hay còn gọi là rootless. Tính năng này hạn chế người dùng thực thi mã trái phép hoặc thực hiện các hoạt động có thể ảnh hưởng đến tính toàn vẹn của hệ thống.
Cụ thể, SIP cho phép sửa đổi các phần được bảo vệ của hệ thống chẳng hạn như /System, /usr, /bin, /sbin và /var chỉ bằng các quy trình được ký bởi Apple hoặc những quy trình có quyền đặc biệt để ghi vào tệp hệ thống, như các bản cập nhật phần mềm của Apple và trình cài đặt của Apple. Đồng thời, tự động cho phép các ứng dụng được tải xuống từ Mac App Store. cũng cải thiện các giới hạn SIP để tối ưu công nghệ, bao gồm thêm một số quyền cho các quy trình cụ thể của Apple, chẳng hạn như các bản cập nhật hệ thống, có quyền truy cập không hạn chế vào các thư mục được bảo vệ bằng SIP.
Cuộc điều tra của đã phát hiện ra một daemon system_installd có quyền cho phép các tiến trình con vượt qua các giới hạn của hệ thống tệp SIP khi một gói do Apple ký đang được cài đặt, daemon system_installd thực thi tập lệnh bằng cách gọi trình shell, zsh mặc định.
Microsoft cho biết: “Khi zsh khởi động, nó sẽ tìm kiếm tệp /etc/zshenv và nếu tìm thấy, sẽ tự động chạy các lệnh từ tệp đó, ngay cả trong chế độ không tương tác. Do đó, để thực hiện các thao tác tùy ý trên thiết bị, những kẻ tấn công có thể tạo một tệp /etc/zshenv độc hại và sau đó đợi system_installd gọi zsh”.
Việc khai thác thành công CVE-2021-30892 cho phép có thể sửa đổi các phần được bảo vệ của hệ thống tệp, bao gồm khả năng cài đặt trình điều khiển hạt nhân độc hại, ghi đè tệp hệ thống hoặc cài đặt phần mềm độc hại liên tục và không thể bị phát hiện.
Về phía Apple, hãng đã xử lý lỗ hổng trong bản cập nhật phát hành ngày 26/10.
Phương Thanh (Theo The Hacker News)
15:34 | 05/04/2008
09:00 | 02/11/2021
15:00 | 02/11/2021
14:00 | 14/12/2021
17:00 | 10/10/2024
Các trang web cửa hàng trực tuyến sử dụng Adobe Commerce và Magento đang là mục tiêu của các cuộc tấn công mạng có tên là CosmicSting với tốc độ đáng báo động, trong đó kẻ tấn công đã tấn công khoảng 5% tổng số cửa hàng.
17:00 | 19/07/2024
Phần mềm độc hại DarkGate khét tiếng đã hoạt động trở lại, lợi dụng sự kết hợp giữa các tệp Microsoft Excel và các chia sẻ Samba công khai để phân phối phần mềm độc hại. Chiến dịch tinh vi này được tiết lộ trong một báo cáo gần đây của Công ty an ninh mạng Palo Alto Networks (Mỹ) cho biết nhóm tin tặc đã nhắm mục tiêu vào nhiều người dùng ở khu vực Bắc Mỹ, Châu Âu và Châu Á.
08:00 | 12/07/2024
Mới đây, công ty bảo mật Symantec đã đưa ra cảnh báo về một cuộc tấn công mới, lừa người dùng đến các trang web giả mạo và yêu cầu cung cấp thông tin Apple ID. Những thông tin xác thực này cho phép tin tặc kiểm soát các thiết bị, truy cập thông tin cá nhân và tài chính.
09:00 | 20/06/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã bổ sung một lỗ hổng bảo mật ảnh hưởng đến Máy chủ WebLogic của Oracle vào danh mục Các lỗ hổng bị khai thác đã biết (KEV).
Các cơ quan chính phủ tại Mỹ, Úc và Canada đưa ra cảnh báo các tác nhân đe dọa được nhà nước Iran bảo trợ sử dụng kỹ thuật tấn công Brute Force và nhiều phương thức khác để triển khai các chiến dịch tấn công mạng nhắm vào các tổ chức cơ sở hạ tầng quan trọng.
10:00 | 25/10/2024