Apple har rettet en sikkerhetsfeil i macOS som Microsoft-forskere fant kunne brukes til å installere en ondsinnet kjernedriver, ellers kjent som et “rootkit”.
Feilen lå i macOS System Integrity Protection (SIP). Feilen tillot en potensiell angriper å installere et maskinvaregrensesnitt som lar dem “overskrive systemfiler, eller installere vedvarende, uoppdagelig skadelig programvare”.
Oppdagelsen reflekterer Microsofts økte fokus på bedriftskunder som bruker en blanding av Windows og macOS under hybride arbeidsordninger, noe som dokumenteres av produkter som deres sikkerhetsprodukt på tvers av plattformer, Microsoft Defender for Endpoint. Microsoft introduserte Defender ATP for Mac-er i 2019, i god tid før pandemien presset alle til maskinvare de brukte hjemme.
SE: Ransomware: Det er en “gyllen æra” for nettkriminelle – og det kan bli verre før det blir bedre
“Denne sårbarheten på OS-nivå og andre som uunngåelig vil bli avdekket, legger til det økende antallet mulige angrepsvektorer for angripere å utnytte, ” forklarer Jonathan Bar Or, fra Microsoft 365 Defender Research-teamet.
«Når nettverkene blir stadig mer heterogene, øker også antallet trusler som forsøker å kompromittere ikke-Windows-enheter.»
SIP, også kalt «rootless», låser systemet fra roten ved å bruke Apples sandkasse for å beskytte macOS . Den inneholder flere minnebaserte variabler som ikke skal kunne endres i ikke-gjenopprettingsmodus. Men SIP kan slås av etter oppstart i gjenopprettingsmodus, slik at en angriper kan omgå SIP-beskyttelse.
“Opp gjennom årene har Apple herdet SIP mot angrep ved å forbedre restriksjoner,” skriver Or.
“En av de mest bemerkelsesverdige SIP-restriksjonene er filsystembegrensningen. Dette er spesielt viktig for røde lagspillere og ondsinnede aktører, ettersom mengden skade man kan gjøre på en enhets kritiske komponenter er direkte basert på deres evne til å skrive ubegrensede data til disk. «
Feilen Microsoft fant i Apples SIP-restriksjoner var relatert til systemoppdateringer, som krever ubegrenset tilgang til SIP-beskyttede kataloger. Apple “introduserte et bestemt sett med rettigheter som omgår SIP-sjekker ved design,” skriver Or.
Apple korrigerte feilen, sporet som CVE-2021-30892, i macOS Monterey 12.0.1, samt oppdateringer for Catalina og Big Sur.
SIP-sårbarheter er ikke nye men Microsoft bestemte at feilen var alvorlig nok til å berettige navnet “shootless”.
“Mens vi vurderte macOS-prosesser som er berettiget til å omgå SIP-beskyttelse, kom vi over daemonen system_installd, som har den kraftige com.apple.rootless.install.inheritable rettigheten. Med denne rettigheten vil enhver underordnet prosess av system_installd kunne omgå SIP-filsystembegrensninger totalt,” forklarer Or.
SE: Skysikkerhet i 2021: En bedriftsguide til viktige verktøy og beste praksis
Microsoft argumenterer selvfølgelig denne feilen garanterer at Defender for Endpoints atferdsanalysefunksjoner kan beskytte Mac-er i bedriften.
Apple korrigerte dusinvis mer alvorlige feil i sin siste oppdatering for macOS Monterey og tidligere.
Microsofts innlegg tar et skritt tilbake og berører en flere tiår gammel debatt om hvorvidt Mac-maskiner trenger antivirus og de to selskapenes respektive tilnærminger til det spørsmålet.
Macer, etter Apples syn, trenger ikke antivirus, mens Windows-PCer gjør det. Apple har brukt fremveksten av skadelig programvare rettet mot macOS i sine argumenter mot Fortnite-produsenten Epic Games, for eksempel. Og Microsoft ansatt i år Justin Long, ansiktet til «Get A Mac»-kampanjene, som en gang fokuserte på skadevare rettet mot Windows-PCer, men ikke Mac-er. Men i bedriften i 2021, hvor Mac-maskiner øker, arbeidet er hybrid og statssponsede hackere leter etter hvert inngangspunkt, er det tydelig at sikkerhetstrusler fortsetter å utvikle seg.