idNSA.id - Microsoft menemukan kerentanan di macOS, dijuluki Shrootless ( CVE-2021-30892 ), yang dapat memungkinkan penyerang untuk melewati Perlindungan Integritas Sistem (SIP) dan melakukan aktivitas jahat, seperti mendapatkan hak akses root dan menginstal rootkit pada perangkat yang rentan.
Perlindungan Integritas Sistem (juga disebut sebagai rootless) adalah fitur keamanan macOS yang diperkenalkan di OS X El Capitan (2015) (OS X 10.11). Teknologi SIP membatasi pengguna root dari melakukan operasi yang dapat membahayakan integritas sistem.
Cacat itu dilaporkan ke Apple melalui Microsoft Security Vulnerability Research (MSVR).
Secara desain, SIP hanya mengizinkan proses yang ditandatangani oleh Apple atau proses dengan hak khusus (yaitu, pembaruan perangkat lunak Apple dan penginstal Apple) untuk memodifikasi bagian macOS yang dilindungi ini. Para peneliti melaporkan bahwa aktor ancaman dapat membuat file yang dibuat khusus yang akan membajak proses instalasi.
“Saat menilai proses macOS yang berhak bypass perlindungan SIP, kami menemukan daemon system_installd, yang memiliki hak com.apple.rootless.install.inheritable yang kuat. Dengan hak ini, setiap child process dari system_installd akan dapat melewati batasan sistem file SIP.” membaca posting yang diterbitkan oleh Microsoft.
Pakar Microsoft menemukan kelemahan keamanan Shrootless setelah memperhatikan bahwa daemon system_installd memiliki hak com.apple.rootless.install.inheritable yang memungkinkan setiap child procces untuk sepenuhnya melewati batasan sistem file SIP.
Microsoft menerapkan algoritme berikut untuk membuat eksploitasi proof-of-concept (POC) untuk mengganti daftar pengecualian ekstensi kernel:
1. Unduh paket Apple-signed (menggunakan wget) yang diketahui memiliki skrip pasca-instal
2. Tanam /etc/zshenv berbahaya yang akan memeriksa parent process; jika system_installd , maka itu akan menulis ke lokasi terbatas
3. Panggil utilitas penginstal untuk menginstal paket
Apple mengatasi kekurangannya dengan merilis pembaruan keamanan pada 26 Oktober, perusahaan memuji Jonathan Bar Or dari Microsoft untuk masalah ini.
"Aplikasi berbahaya mungkin dapat memodifikasi bagian yang dilindungi dari sistem file." menyatakan nasihat keamanan yang diterbitkan oleh Apple. “Deskripsi: Masalah izin yang diwariskan telah diatasi dengan pembatasan tambahan.
