Microsoft ontdekt kwetsbaarheid in macOS die installatie rootkit mogelijk maakt
Microsoft heeft een kwetsbaarheid in macOS ontdekt waardoor een beveiligingsmaatregel van het besturingssysteem is te omzeilen en een aanvaller bijvoorbeeld een rootkit kan installeren. Apple bracht op 25 oktober updates voor het beveiligingslek uit, dat wordt aangeduid als CVE-2021-30892. Details over de kwetsbaarheid zijn nu door Microsoft openbaar gemaakt.
Het beveiligingslek maakt het mogelijk voor een aanvaller die al toegang tot het systeem heeft, bijvoorbeeld via een malafide applicatie, om de System Integrity Protection (SIP) van macOS te omzeilen en zo beveiligde delen van het file system aan te passen. SIP is een technologie die voorkomt dat een rootgebruiker acties kan uitvoeren die de systeemintegriteit aantasten. Verschillende processen zijn hier echter van uitgezonderd.
Bij het onderzoeken van deze uitgezonderde processen ontdekte Microsoft een kwetsbaarheid. Het beveiligingslek is aanwezig in de manier waarop door Apple gesigneerde packages met post-install scripts worden geïnstalleerd. Een aanvaller zou een speciaal geprepareerd bestand kunnen maken dat het installatieproces kaapt en zo de SIP-beperkingen kan omzeilen. Vervolgens zou het mogelijk zijn om bijvoorbeeld een rootkit te installeren, systeembestanden te overschrijven of persistent niet te detecteren malware te installeren, aldus Microsoft.
Onderzoeker Jonathan Bar Or beschrijft hoe bij de installatie van een door een Apple gesigneerde package (.pkg-bestand) system_installd wordt aangeroepen. Wanneer het package een post-install script bevat wordt die via een standaard shell (zsh) door system_installd uitgevoerd. Wanneer deze shell start zoekt het naar het bestand /etc/zshenv en zal, indien aanwezig, commando's van dit bestand automatisch uitvoeren, ook in de niet-interactieve mode.
Een aanvaller zou hier misbruik van kunnen maken door een malafide /etc/zshenv bestand aan te maken en dan te wachten totdat system_installd de standaard shell aanroept, waarna er willekeurige operaties op het systeem zijn uit te voeren. Daarnaast is de kwetsbaarheid te gebruiken om rootrechten op het systeem te krijgen.
Kan je hetzelfde zeggen van Google, die is ook continue bezig met software van andere partijen, die melden ook regelmatig Microsoft security issues.
En vergeet niet, Microsoft werkt ook veel samen met Apple, bijvoorbeeld:
- zijn ze nu heel goed aan het samenwerken voor Microsoft Intune om MacOS te kunnen enrollen en te kunnen beheren.
- ontwikkelingen met Microsoft Defender for Endpoint voor MacOS (ook Linux) (https://techcommunity.microsoft.com/t5/microsoft-defender-for-endpoint/announcing-live-response-for-macos-and-linux/ba-p/2864397)
Lekker blijven haten op Microsoft hoor. Onderzoekers van alle grote bedrijven, zoals ook Google, kijken ook naar andermans producten. Als je geen redenen kunt verzinnen waarom vraag ik me af wat je hier uberhaupt doet.
Ga lekker spelen met je Atari joh!
Waarschijnlijk schuilt de intelligentie om met dit bericht verstandelijk om te gaan minder bij jou dan bij Microsoft én Apple want Apple heeft actief gereageerd op dit door Microsoft geconstateerde probleem door een Patch hiervoor op 25 oktober uit te brengen.
Mijn visie...
Want....
Dat is samen (Apple én Microsoft) elkaars verantwoordelijkheid voor de gebruikers van Operating Systems uitdragen. Maar dat is natuurlijk ondenkbaar in de bekrompen wereld van kortzichtige Operating systems bashing infants from kindergarten.
Oh, en voor je 'iets' denkt: Geen van beide genoemde Operating Systems zijn bij mij momenteel actief in gebruik.
Dus vandaar dat ik het recht neem hier positief op te reageren (voor er weer een andere grappenmaker komt zeuren met: "waar maak jij je druk over, want... etc. etc".)
Dit is prima gemeld (responsible disclosure want updates sinds 25 oktober).
Doen ze tenminste wat, Apple laat lekken gewoon jaren onaangeroerd open staan.
Microsoft doet al een heel hoop om MacOS gebied.
Office for Mac, Intune, maar ook Defender.
De wereld is een stuk groter dan alleen Microsoft, iets wat Microsoft ook al jaren laat zine.
Gebruikers met een account op de machine en die sudo access hebben zouden hier misbruik van kunnen maken. De aanvalsvector lijkt me klein.
De wereld is een stuk groter dan alleen Microsoft, iets wat Microsoft ook al jaren laat zine.
Kijk, nou ben je mij meteen helemaal kwijt!
1. De wereld is een stuk groter dan alleen Microsoft
2. iets wat Microsoft ook al jaren laat zien
Hoe dan? Hoe kan Microsoft laten zien dat de wereld een stuk groter is dan alleen Microsoft? Even afgezien van het feit dat iedereen dit meteen zou zien want het is een waarheid als een koe en dat is nou weer precies een Microsoft praktijk.
Gebruikers met een account op de machine en die sudo access hebben zouden hier misbruik van kunnen maken. De aanvalsvector lijkt me klein.
Ben ik het mee eens. Net even nagekeken op mijn Macbook. Standaard bestaat dat bestand niet in MacOS BigSur en /etc (wat eignelijk symlinkt naar /private/etc/) heeft 755 permissies en is eigendom van root, dus om dat bestand erin te kunnen schrijven moet je lokaal al sudo rechten hebben.
Ik zeg niet dat deze bug onbelangrijk is - hij moet uiteraard gefixt worden - maar als een malafide proces al kan sudo'en op je machine dan is het dichten van dit lek geen oplossing voor dat probleem.
Office for Mac, Intune, maar ook Defender.
Op de oude Appeltjes van begin jaren '80 was zelfs Microsoft basic in de rom's ingebakken. Ook op de oude Mac's met OS 3 en 4 gebruikte ik al Microsoft Excel. (Dat zal rond 1987 geweest zijn.) Oftewel: ze hebben hun producten al vanaf de oudste mac's voor de mac aangepast.
Die gasten moeten hun eigen product beter testen ipv zich te beziggen met halffabrikaten.
GO FIX!
Die gasten moeten hun eigen product beter testen ipv zich te beziggen met halffabrikaten.
GO FIX!
Die gasten moeten hun eigen product beter testen ipv zich te beziggen met halffabrikaten.
GO FIX!
2. Zou het niet kunnen dat ze dit gevonden hebben bij een goede test van hun eigen producten (b.v. Office voor de Mac) en dan zo vriendelijk zijn om hun collega te helpen?
Gebruikers met een account op de machine en die sudo access hebben zouden hier misbruik van kunnen maken. De aanvalsvector lijkt me klein.
Ben ik het mee eens. Net even nagekeken op mijn Macbook. Standaard bestaat dat bestand niet in MacOS BigSur en /etc (wat eignelijk symlinkt naar /private/etc/) heeft 755 permissies en is eigendom van root, dus om dat bestand erin te kunnen schrijven moet je lokaal al sudo rechten hebben.
Ik zeg niet dat deze bug onbelangrijk is - hij moet uiteraard gefixt worden - maar als een malafide proces al kan sudo'en op je machine dan is het dichten van dit lek geen oplossing voor dat probleem.
Hierom dus:
We discovered that /etc/zshenv has an equivalent for each user profile under ~/.zshenv, which has the same function and behavior but doesn’t require root permissions to write to.
Gebruikers met een account op de machine en die sudo access hebben zouden hier misbruik van kunnen maken. De aanvalsvector lijkt me klein.
Ben ik het mee eens. Net even nagekeken op mijn Macbook. Standaard bestaat dat bestand niet in MacOS BigSur en /etc (wat eignelijk symlinkt naar /private/etc/) heeft 755 permissies en is eigendom van root, dus om dat bestand erin te kunnen schrijven moet je lokaal al sudo rechten hebben.
Ik zeg niet dat deze bug onbelangrijk is - hij moet uiteraard gefixt worden - maar als een malafide proces al kan sudo'en op je machine dan is het dichten van dit lek geen oplossing voor dat probleem.
Hierom dus:
We discovered that /etc/zshenv has an equivalent for each user profile under ~/.zshenv, which has the same function and behavior but doesn’t require root permissions to write to.
Een rootkit loopt als root, niet als een gebruiker. Elke shell waar ik ooit al mee gewerkt heb heeft zo’n bestand in de home directory van de gebruiker en de gebruiker heeft hier een 7xx permissie op.
Als ik inlog en mijn shell vraagt opeens mijn paswoord voor een sudo actie dan is er duidelijk iets mis.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
