Krytyczna luka w Mac OS X !
Krytyczna luka zero-day została właśnie odnaleziona we wszystkich wersjach systemu OS X pozwalająca atakującemu exploitować najnowsze zabezpieczenia systemu oraz uzyskać dostęp do danych.
Wraz z wydaniem OS X El Capitan, Apple przedstawioło nowe zabezpieczenie dla jądra systemu nazywane System Integrity Protection(SIP). Zabezpieczenie to ma za zadanie zapobiec modyfikowaniu plików oraz folderów przez złośliwe oprogramowanie. Przeznaczeniem SIPa jest ograniczenie dostępu dla konta root oraz zmniejszenie liczby akcji jakie może ten użytkownik wykonać na kluczowych częściach systemu zmniejszając tym samym szansę dla złośliwego oprogramowania na przejęcie urządzenia czy atak poprzez rozszerzenie uprawnień.
Firma SentiOne zajmująca się badaniem zabezpieczeń ujawniła krytyczną lukę w obu systemach OS X oraz iOS pozwalającą na lokalne rozszerzenie uprawnienień oraz ominięcie SIPa bez potrzeby exploitowania jądra.
Ominięcie SIPa by chronić Malware
Luka zero-day(CVE-2016-1757) jest podatnością poazwalającą atakującemu na wykonanie zdalne kodu na podatnej maszynie oraz wyjście z tzw sandboxa(strefy systemu z ograniczoną funkcjonalnością). Atakujący może zwiększyć uprawnienia dla malware’u by ominąć SIPa, zmodyfikować wewnętrzne pliki systemowe oraz pozostać niezauważonym w zainfekowanym systemie. Jak mówi sam odkrywca luki „w ten sposób zabezpieczenie w OS X, które miało na celu ochronę użytkowników może zostać użyte by ochronić malware”.
Domyślnie „System Integrity Protection” chroni następujące foldery: /usr /System /bin /sbin oraz aplikacje, które wchodzą w skład systemu OS X.
Łatwe do wykonania oraz trudne do wykrycia i usunięcia
Według odkrywcy luki Vilaça bardzo łatwo jest przeprowadzić atak z jej wykorzystaniem. Wystarczy atak przy użyciu techniki phishingowej (E-mail lub spreparowana strona) by przejąć podatną maszynę. Jest to atak bardzo stabilny… nie powodujący zawieszenie komputera lub jakichkolwiek procesów.
Najbardziej niepokojący jest fakt iż atak jest bardzo trudny do wykrycia. Nawet gdy użytkownik będzie w stanie go wykryć było by również niemożliwością dla niego aby go usunąć ze względu na blokowanie przez SIP dostępu do plików i folderów. Luka ta zostałą zgłoszona do Apple w styczniu oraz wersje El Capitan 10.11.4 oraz iOS 9.3, które ujrzały światło dzienne 21 marca są już odporne na te podatność. Dlatego pamiętajcie o aktualizacji swoich urządzeń…