Ο Pedro Vilaça, επικεφαλής ερευνητής της εταιρείας ασφάλειας SentinelOne, έχει ανακαλύψει μια zero-day ευπάθεια η οποία επηρεάζει όλες τις τρέχουσες εκδόσεις του Mac OS X, όπως αναφέρει σε πρόσφατη δημοσίευσή του.
Ο ερευνητής περιγράφει την ευπάθεια ως ένα non-memory corruption bug, το οποίο επιτρέπει στους επιτιθέμενους να εκτελέσουν απομακρυσμένο κώδικα σε οποιοδήποτε υπολογιστή και στη συνέχεια να κλιμακώσουν τα προνόμια συστήματος και να αναλάβουν δικαιώματα root.
Με τον τρόπο αυτό οι εισβολείς έχουν τη δυνατότητα να αποκτήσουν πρόσβαση root σχεδόν σε όλες τις πρόσφατες εκδόσεις του Mac OS X, ενώ όσον αφορά συγκεκριμένα στο Mac OS X El Capitan, το σφάλμα αυτό μπορεί να επιτρέψει σε έναν εισβολέα να παρακάμψει τον μηχανισμό System Integrity Protection (SIP), το πρόσφατο χαρακτηριστικό ασφαλείας που εισήχθη από την Apple στο λειτουργικό.
Οι επιτιθέμενοι μπορούν να παρακάμψουν το SIP και στη συνέχεια να αξιοποιήσουν τον μηχανισμό αυτόν προς όφελός τους, προστατεύοντας το κακόβουλο λογισμικό τους.
Το SIP έχει σχεδιαστεί από την Apple ώστε να αποτρέπει τυχόν χρήστες, ακόμα και εκείνους με δικαιώματα root, από την τροποποίηση των βασικών αρχείων του συστήματος. Το bug που ανακάλυψε ο ερευνητής μπορεί να παρακάμψει την προστασία αυτή, τροποποιώντας τα αρχεία του συστήματος, και επιτρέποντας στο κακόβουλο λογισμικό να παραμείνει ενεργό στις μολυσμένες συσκευές.
[su_button url=”https://www.secnews.gr/102456/apple-released-imessage-patch/” target=”blank” style=”glass4″ wide=”yes”]Η Apple επιδιορθώνει σοβαρές ελλείψεις κρυπτογράφησης στο iMessage[/su_button]
Ακόμη και εάν οι χρήστες ανακάλυπταν τη μόλυνση, η αφαίρεσή της θα ήταν σχεδόν αδύνατη δεδομένου ότι SIP θα μπορούσε να λειτουργήσει εις βάρος τους, εμποδίζοντας τον εντοπισμό ή την τροποποίηση του αρχείου συστήματος με το malware.
Από προεπιλογή, το SIP προστατεύει τους ακόλουθους φακέλους: / System, / usr, / bin, / sbin, μαζί με τις εφαρμογές που είναι προ-εγκατεστημένες με το Mac OS X.
Σύμφωνα με τον Vilaça, η ευπάθεια είναι εύκολα εκμεταλλεύσιμη, μέσω απλών spear-phishing emails ή browser-based επιθέσεων που είναι περισσότερο από αρκετές για να θέσουν σε κίνδυνο τα συστήματα.
Η Apple καθόρισε το ζήτημα (CVE-2016-1757) με την κυκλοφορία του version 10.11.4, του OS X El Capitan, που κυκλοφόρησε στις 21 Μαρτίου.