Apple heeft een beveiligingsfout in macOS gepatcht waarvan Microsoft-onderzoekers ontdekten dat het zou kunnen worden gebruikt om een kwaadaardig kernelstuurprogramma te installeren, anders bekend als een 'rootkit'.
De fout zat in macOS System Integrity Protection (SIP). Door de glitch kon een potentiële aanvaller een hardware-interface installeren waarmee ze “systeembestanden kunnen overschrijven of permanente, niet-detecteerbare malware kunnen installeren”.
De ontdekking weerspiegelt de toegenomen focus van Microsoft op zakelijke klanten die een mix van Windows en macOS gebruiken onder hybride werkafspraken, wat blijkt uit producten zoals het platformonafhankelijke beveiligingsproduct, Microsoft Defender for Endpoint. Microsoft introduceerde Defender ATP voor Macs in 2019, ruim voordat de pandemie iedereen naar hardware duwde die ze thuis gebruikten.
ZIE: Ransomware: het is een 'gouden tijdperk' voor cybercriminelen – en het kan erger worden voordat het beter wordt
“Deze kwetsbaarheid op OS-niveau en andere die onvermijdelijk zullen worden ontdekt, dragen bij aan het groeiende aantal mogelijke aanvalsvectoren die aanvallers kunnen misbruiken, ” legt Jonathan Bar Or uit, van het Microsoft 365 Defender Research-team.
“Naarmate netwerken steeds heterogener worden, neemt ook het aantal bedreigingen toe dat niet-Windows-apparaten probeert te compromitteren.”
SIP, ook wel 'rootless' genoemd, vergrendelt het systeem vanaf de root door de sandbox van Apple te gebruiken om macOS te beschermen . Het bevat verschillende op geheugen gebaseerde variabelen die niet mogen worden gewijzigd in de niet-herstelmodus. Maar SIP kan worden uitgeschakeld na het opstarten in de herstelmodus, waardoor een aanvaller de SIP-beveiligingen kan omzeilen.
“In de loop der jaren heeft Apple SIP tegen aanvallen gehard door de beperkingen te verbeteren”, schrijft Or.
“Een van de meest opvallende SIP-beperkingen is de beperking van het bestandssysteem. Dit is vooral belangrijk voor red-teamers en kwaadwillende actoren, omdat de hoeveelheid schade die men kan aanrichten aan de kritieke componenten van een apparaat rechtstreeks is gebaseerd op hun vermogen om onbeperkte gegevens naar schijf te schrijven. “
De fout die Microsoft in de SIP-beperkingen van Apple aantrof, had te maken met systeemupdates, die onbeperkte toegang tot SIP-beveiligde mappen vereisen. Apple “heeft een bepaalde reeks rechten geïntroduceerd die SIP-controles door hun ontwerp omzeilen”, schrijft Or.
Apple heeft de fout gepatcht, bijgehouden als CVE-2021-30892, in macOS Monterey 12.0.1, evenals updates voor Catalina en Big Sur.
SIP-kwetsbaarheden zijn niet nieuw maar Microsoft besloot dat de bug ernstig genoeg was om de naam “shrootless” te rechtvaardigen.
“Tijdens het beoordelen van macOS-processen die recht hebben op het omzeilen van SIP-beveiligingen, kwamen we de daemon system_installd tegen, die het krachtige com.apple.rootless.install.inheritable recht heeft. Met dit recht zou elk onderliggend proces van system_installd in staat zijn om SIP-bestandssysteembeperkingen te omzeilen helemaal”, legt Or.
ZIE: Cloud-beveiliging in 2021: een zakelijke gids voor essentiële tools en best practices
Microsoft stelt natuurlijk deze fout rechtvaardigt Defender voor de gedragsanalysemogelijkheden van Endpoint om Macs in de onderneming te beschermen.
Apple heeft tientallen serieuzere bugs gepatcht in de nieuwste update voor macOS Monterey en eerder.
Door een stap terug te doen, raakt Microsoft's bericht aan een decennia oud debat over de vraag of Macs antivirus nodig hebben en de respectieve benaderingen van de twee bedrijven van die vraag.
Macs hebben volgens Apple geen antivirus nodig, terwijl Windows-pc's dat wel hebben. Apple heeft de opkomst van malware gericht op macOS gebruikt in zijn argumenten tegen bijvoorbeeld Fortnite-maker Epic Games. En Microsoft huurde dit jaar Justin Long in, het gezicht van de “Get A Mac”-campagnes, die ooit gericht waren op malware die gericht was op Windows-pc's, maar niet op Macs. Maar in de onderneming anno 2021, waar Macs in opkomst zijn, het werk hybride is en door de staat gesponsorde hackers op zoek zijn naar elk toegangspunt, is het duidelijk dat beveiligingsbedreigingen zich blijven ontwikkelen.