אפל טיפלה לאחרונה בפגיעות המאפשרת להאקרים בעלי הרשאות שורש לעקוף את הגנת שלמות המערכת (SIP), להתקין נוזקות בלתי ניתנות למחיקה ולגשת לנתונים הפרטיים של הקורבן על ידי עקיפת בדיקות אבטחה של שקיפות, הסכמה ובקרה (TCC). אפל תיקנה את הפגיעות בעדכוני אבטחה עבור macOS Ventura 13.4, macOS Monterey 12.6.6 ו- macOS Big Sur 11.7.7, שפורסמו לפני שבועיים ב- 18 במאי.
System Integrity Protection (SIP) הינו מנגנון אבטחה של macOS המונע מנוזקות לשנות תיקיות וקבצים מסוימים על ידי הטלת הגבלות על חשבון המשתמש הבסיסי והיכולות שלו, באזורים מוגנים של מערכת ההפעלה. SIP פועל לפי העיקרון שרק תהליכים שנחתמו על ידי אפל או בעלי הרשאות מיוחדות, כגון עדכוני תוכנה אפל, צריכים להיות מורשים לשנות רכיבים מוגנים ב- macOS. חשוב לציין שאין שיטה להשבית את SIP מבלי להפעיל מחדש את המערכת ולאתחל את השחזור של macOS (מערכת השחזור המובנית) – מה שמצריך גישה פיזית למכשיר שכבר נפגע. עם זאת גילו החוקרים של מיקרוסופט שהאקרים בעלי הרשאות בסיס יכולים לעקוף את אכיפת אבטחת SIP על ידי שימוש לרעה בכלי השירות macOS Migration Assistant – אפליקציית macOS מובנית בעלת יכולות עקיפת SIP. החוקרים הוכיחו שהאקרים בעלי הרשאות שורש יכולים להפוך את תהליך המיגרציה לאוטומטי עם AppleScript ולהפעיל נוזקה לאחר הוספה לרשימת ההחרגות של SIP, מבלי להפעיל מחדש את המערכת ולאתחל מ- macOS Recovery.
עקיפת SIP כרוכה בסיכונים משמעותיים במיוחד כאשר זו מנוצלת על ידי יוצרי נוזקות, מכיוון שהיא מאפשרת לקוד זדוני להיות בעל השפעות מרחיקות לכת, כולל יצירת נוזקות מוגנת SIP שלא ניתן להסיר באמצעות שיטות מחיקה סטנדרטיות. עקיפת SIP גם מרחיבה מאוד את משטח המתקפה ויכולה לאפשר להאקרים לפגוע בשלמות המערכת באמצעות ביצוע קוד ליבה שרירותי ואפשרות להתקנת Rootkits כדי להסתיר תהליכים זדוניים ונוזקות מתוכנות אבטחה. עקיפת הגנת SIP מאפשרת גם עקיפת מוחלטת של מדיניות שקיפות, הסכמה ובקרה (TCC) ומאפשרת להאקרים להחליף מסדי נתונים של TCC ולהשיג גישה בלתי מוגבלת לנתונים הפרטיים של הקורבן.
זו אינה הפגיעות הראשונה של macOS שדווחה על ידי חוקרי מיקרוסופט בשנים האחרונות, כאשר מעקף SIP נוסף המכונה Shrootless דווח ב- 2021, המאפשר להאקרים לבצע פעולות על מחשבי Mac שנפגעו, להסלים הרשאות ל- root ולהתקין rootkits במחשבים פגיעים. לאחרונה מצא חוקר האבטחה הראשי של מיקרוסופט פגם אבטחה המכונה אכילס, אותו יכולים לנצל האקרים כדי לפרוס נוזקות באמצעות אפליקציות בלתי מהימנות המסוגלות לעקוף את הגבלות הביצוע של Gatekeeper. הוא גם גילה את powerdir – באג אבטחה נוסף של macOS שיכול לאפשר להאקרים לעקוף את טכנולוגיית השקיפות, הסכמה ובקרה (TCC) כדי לגשת לנתונים המוגנים של המשתמשים.
