苹果新漏洞 “Shrootless” 可使攻击者在macOS 系统上安装后门
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
上周二,微软发布了漏洞 (CVE-2021-30892) 的详情。该漏洞可导致攻击者绕过 macOS 中的安全限制,完全控制该设备并在设备上执行任意操作,且不会被传统的安全解决方案所标记。
微软 365 Defender 研究团队的研究员 Jonathan Bar Or 指出,该漏洞被称为 “Shrootless”,是由“苹果签名安装了安装后脚本的程序包方式“引发的。他表示,”恶意人员可创建特殊构造的文件,劫持安装流程。”
系统完整性防护 (SIP) 即 “rootless” 是在 OS X EI Capitan 中引入的安全特性,旨在通过限制 root 用户执行越权代码或执行可能攻陷系统完整性的操作来保护 macOS 操作系统。
具体而言,SIP 允许修改系统的受保护部分如 /System、/usr、/bin、/sbin 和 /var,且修改只能由苹果签名的进程或具有特别的系统文件写权利的进程如苹果软件更新和苹果安装程序进行修改,同时自动授权从 Mac App Store 中下载的应用。
微软在调查可绕过 SIP 防护措施的 amcOS 进程中发现,软件安装守护进程 “system_installd” 能够启用任意子进程,从而完全规避 SIP 文件系统限制。因此,当安装由苹果签名的程序包时会触发 system_installed 守护进程,而该守护进程会通过调用一个默认 shell (macOS 上的 Z shell,即 zsh)执行包含在程序包中的任意安装后脚本。
他指出,“有意思的是,当zsh 启动时会查找文件 /etc/zshenv,而且如找到,则会自动运行文件中的命令,甚至在非交互性模式下也不例外。因此,攻击者在设备上执行任意操作时,他们能够采用的完全可靠路径是创建恶意 /etc/zshenv 文件并等待 system_installd 来调用 zsh。“
CVE-2021-30892 如遭成功利用,则可导致恶意应用修改文件系统的受保护部分,包括安装恶意内核驱动(即rootkit)的能力、覆写系统文件或安装可持久的、无法检测的恶意文件。苹果公司表示已经在2021年10月26日发布安全更新,通过其它限制措施缓解了该漏洞。
Bar Or 表示,“安全技术如 macOS 设备中的 SIP 是设备的内置基准防护措施和,也是针对恶意软件和其它网络安全威胁的最后一道防线。遗憾的是,恶意人员仍然能找到创新的攻陷方式。“
推荐阅读
苹果修复已遭在野利用的 iOS 和 macOS 0day
苹果紧急修复已遭 NSO Group 利用的 iMessage 0day以及另一个0day
【BlackHat】研究员吐槽苹果漏洞奖励计划
原文链接
https://thehackernews.com/2021/10/new-shrootless-bug-could-let-attackers.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
苹果新漏洞 “Shrootless” 可使攻击者在macOS 系统上安装后门相关推荐
- 苹果MacOS系统上安装第三方驱动失败/无效
近期不少用户在苹果系统上安装一些第三方驱动时反馈没有作用,但是驱动安装提示是完成的,并拷贝到了系统的驱动路径下:造成该问题的原因可参见如下苹果官方说明: User-Approved Kernel Ex ...
- 修改32位的AutoCAD2012,使其能在64位系统上安装
修改32位的AutoCAD2012,使其能在64位系统上安装 我们只需要下载AutoCAD2012的32位版,通过下面的修改就可以同时兼容32位和64位操作系统,二合一可以节省很多的硬盘开销. 1. ...
- 苹果系统和windows系统怎么切换_【电脑】在windows系统上安装苹果Mac系统
→ 收集 | 排版 | 制作 ● 版权由老王,随意转载,必须备注来源 PS:分享涉及的软件,网站等资源,本人未收取任何费用,只为分享实用好玩的资源给大家,希望大家喜欢 大家好,我是老王! 不知道大家 ...
- 在苹果MAC OS X Lion系统上安装、升级、使用Communicator(OC) for MAC 2011
前期准备 域帐号"登录到"计算机准备 1. 点击"苹果按钮"."系统偏好设置".选择"共享".如图1.2. 图1 图2 ...
- 苹果MAC系统上安装Maven并配置环境变量
0.JDK安装及配置 a.在英文输入法的状态下,按键盘"Ctrl + 空格"组合键,调出Spotlight搜索,在这里可以快速启动终端,输入ter,然后回车,即可打开终端. b.如 ...
- win10系统上安装awvs漏洞扫描器
AWVS14版本安装 安装包以及激活补丁链接 链接:https://pan.baidu.com/s/1fiuLM8DOWXAEncVqaNVciA 提取码:i6oo 点击安装程序一直默认即可,安装目录 ...
- Linux OS 曝新漏洞 攻击者可在多数发行版获root 权限
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 安全审计公司 Qualys 表示在Linux 操作系统中发现一个新漏洞,可导致攻击者在多数发行版本如 Ubuntu.Debian 和 Fe ...
- PHP Composer 新漏洞可引发大规模供应链攻击
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件 ...
- Intel CPU 曝两个新漏洞影响所有处理器,设备可遭接管(含视频)
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 Intel 公司的 CPU 中出现两个新漏洞,可导致攻击者接管设备.安全专家指出,该缺陷存在于当前所有 Intel 处理器中,受影响最 ...
最新文章
- busybox在android开发中的应用
- python数据类型和数据运算
- .NET 6新特性试用 | 异步流
- excel超级工具箱_这6个Excel高效办公插件,你都用过吗?
- Hacker学习发展流程图
- android 加载外部矢量图SVG
- 可穿戴设备的主流传感器介绍
- excel对比_EXCEL对比图的用法
- Maven默认的生命周期
- 新年2021HTML,2021新年倒计时html代码
- Installing APK 'app-debug.apk' on 'OPPO R9m - 5.1' for app:debug
- h5跳转微信公众号文章,小程序,任意站跳转链接制作方法?
- 云服务器测速脚本_服务器性能自动化测试脚本
- 局域网通信软件MTalk
- nginx屏蔽某些地区访问网站
- 9.10 安卓常用工具类之一 定位-----LocationUtils
- 如何下载网页上的音乐?不用注册!不用会员!不用播放器!
- 医院数字化如何实现?看这篇经典实践案例
- 国际名品SYSTEM入驻北京金融街购物中心__购物败家_YOKA时尚网
- Ethernet 报文