Microsoft ontdekt kwetsbaarheid in macOS die installatie rootkit mogelijk maakt
Microsoft heeft een kwetsbaarheid in macOS ontdekt waardoor een beveiligingsmaatregel van het besturingssysteem is te omzeilen en een aanvaller bijvoorbeeld een rootkit kan installeren. Apple bracht op 25 oktober updates voor het beveiligingslek uit, dat wordt aangeduid als CVE-2021-30892. Details over de kwetsbaarheid zijn nu door Microsoft openbaar gemaakt.
Het beveiligingslek maakt het mogelijk voor een aanvaller die al toegang tot het systeem heeft, bijvoorbeeld via een malafide applicatie, om de System Integrity Protection (SIP) van macOS te omzeilen en zo beveiligde delen van het file system aan te passen. SIP is een technologie die voorkomt dat een rootgebruiker acties kan uitvoeren die de systeemintegriteit aantasten. Verschillende processen zijn hier echter van uitgezonderd.
Bij het onderzoeken van deze uitgezonderde processen ontdekte Microsoft een kwetsbaarheid. Het beveiligingslek is aanwezig in de manier waarop door Apple gesigneerde packages met post-install scripts worden geïnstalleerd. Een aanvaller zou een speciaal geprepareerd bestand kunnen maken dat het installatieproces kaapt en zo de SIP-beperkingen kan omzeilen. Vervolgens zou het mogelijk zijn om bijvoorbeeld een rootkit te installeren, systeembestanden te overschrijven of persistent niet te detecteren malware te installeren, aldus Microsoft.
Onderzoeker Jonathan Bar Or beschrijft hoe bij de installatie van een door een Apple gesigneerde package (.pkg-bestand) system_installd wordt aangeroepen. Wanneer het package een post-install script bevat wordt die via een standaard shell (zsh) door system_installd uitgevoerd. Wanneer deze shell start zoekt het naar het bestand /etc/zshenv en zal, indien aanwezig, commando's van dit bestand automatisch uitvoeren, ook in de niet-interactieve mode.
Een aanvaller zou hier misbruik van kunnen maken door een malafide /etc/zshenv bestand aan te maken en dan te wachten totdat system_installd de standaard shell aanroept, waarna er willekeurige operaties op het systeem zijn uit te voeren. Daarnaast is de kwetsbaarheid te gebruiken om rootrechten op het systeem te krijgen.
Kan je hetzelfde zeggen van Google, die is ook continue bezig met software van andere partijen, die melden ook regelmatig Microsoft security issues.
En vergeet niet, Microsoft werkt ook veel samen met Apple, bijvoorbeeld:
- zijn ze nu heel goed aan het samenwerken voor Microsoft Intune om MacOS te kunnen enrollen en te kunnen beheren.
- ontwikkelingen met Microsoft Defender for Endpoint voor MacOS (ook Linux) (https://techcommunity.microsoft.com/t5/microsoft-defender-for-endpoint/announcing-live-response-for-macos-and-linux/ba-p/2864397)
Lekker blijven haten op Microsoft hoor. Onderzoekers van alle grote bedrijven, zoals ook Google, kijken ook naar andermans producten. Als je geen redenen kunt verzinnen waarom vraag ik me af wat je hier uberhaupt doet.
Ga lekker spelen met je Atari joh!
Waarschijnlijk schuilt de intelligentie om met dit bericht verstandelijk om te gaan minder bij jou dan bij Microsoft én Apple want Apple heeft actief gereageerd op dit door Microsoft geconstateerde probleem door een Patch hiervoor op 25 oktober uit te brengen.
Mijn visie...
Want....
Dat is samen (Apple én Microsoft) elkaars verantwoordelijkheid voor de gebruikers van Operating Systems uitdragen. Maar dat is natuurlijk ondenkbaar in de bekrompen wereld van kortzichtige Operating systems bashing infants from kindergarten.
Oh, en voor je 'iets' denkt: Geen van beide genoemde Operating Systems zijn bij mij momenteel actief in gebruik.
Dus vandaar dat ik het recht neem hier positief op te reageren (voor er weer een andere grappenmaker komt zeuren met: "waar maak jij je druk over, want... etc. etc".)
Dit is prima gemeld (responsible disclosure want updates sinds 25 oktober).
Doen ze tenminste wat, Apple laat lekken gewoon jaren onaangeroerd open staan.
Microsoft doet al een heel hoop om MacOS gebied.
Office for Mac, Intune, maar ook Defender.
De wereld is een stuk groter dan alleen Microsoft, iets wat Microsoft ook al jaren laat zine.
Gebruikers met een account op de machine en die sudo access hebben zouden hier misbruik van kunnen maken. De aanvalsvector lijkt me klein.
De wereld is een stuk groter dan alleen Microsoft, iets wat Microsoft ook al jaren laat zine.
Kijk, nou ben je mij meteen helemaal kwijt!
1. De wereld is een stuk groter dan alleen Microsoft
2. iets wat Microsoft ook al jaren laat zien
Hoe dan? Hoe kan Microsoft laten zien dat de wereld een stuk groter is dan alleen Microsoft? Even afgezien van het feit dat iedereen dit meteen zou zien want het is een waarheid als een koe en dat is nou weer precies een Microsoft praktijk.
Gebruikers met een account op de machine en die sudo access hebben zouden hier misbruik van kunnen maken. De aanvalsvector lijkt me klein.
Ben ik het mee eens. Net even nagekeken op mijn Macbook. Standaard bestaat dat bestand niet in MacOS BigSur en /etc (wat eignelijk symlinkt naar /private/etc/) heeft 755 permissies en is eigendom van root, dus om dat bestand erin te kunnen schrijven moet je lokaal al sudo rechten hebben.
Ik zeg niet dat deze bug onbelangrijk is - hij moet uiteraard gefixt worden - maar als een malafide proces al kan sudo'en op je machine dan is het dichten van dit lek geen oplossing voor dat probleem.
Office for Mac, Intune, maar ook Defender.
Op de oude Appeltjes van begin jaren '80 was zelfs Microsoft basic in de rom's ingebakken. Ook op de oude Mac's met OS 3 en 4 gebruikte ik al Microsoft Excel. (Dat zal rond 1987 geweest zijn.) Oftewel: ze hebben hun producten al vanaf de oudste mac's voor de mac aangepast.
Die gasten moeten hun eigen product beter testen ipv zich te beziggen met halffabrikaten.
GO FIX!
Die gasten moeten hun eigen product beter testen ipv zich te beziggen met halffabrikaten.
GO FIX!
Die gasten moeten hun eigen product beter testen ipv zich te beziggen met halffabrikaten.
GO FIX!
2. Zou het niet kunnen dat ze dit gevonden hebben bij een goede test van hun eigen producten (b.v. Office voor de Mac) en dan zo vriendelijk zijn om hun collega te helpen?
Gebruikers met een account op de machine en die sudo access hebben zouden hier misbruik van kunnen maken. De aanvalsvector lijkt me klein.
Ben ik het mee eens. Net even nagekeken op mijn Macbook. Standaard bestaat dat bestand niet in MacOS BigSur en /etc (wat eignelijk symlinkt naar /private/etc/) heeft 755 permissies en is eigendom van root, dus om dat bestand erin te kunnen schrijven moet je lokaal al sudo rechten hebben.
Ik zeg niet dat deze bug onbelangrijk is - hij moet uiteraard gefixt worden - maar als een malafide proces al kan sudo'en op je machine dan is het dichten van dit lek geen oplossing voor dat probleem.
Hierom dus:
We discovered that /etc/zshenv has an equivalent for each user profile under ~/.zshenv, which has the same function and behavior but doesn’t require root permissions to write to.
Gebruikers met een account op de machine en die sudo access hebben zouden hier misbruik van kunnen maken. De aanvalsvector lijkt me klein.
Ben ik het mee eens. Net even nagekeken op mijn Macbook. Standaard bestaat dat bestand niet in MacOS BigSur en /etc (wat eignelijk symlinkt naar /private/etc/) heeft 755 permissies en is eigendom van root, dus om dat bestand erin te kunnen schrijven moet je lokaal al sudo rechten hebben.
Ik zeg niet dat deze bug onbelangrijk is - hij moet uiteraard gefixt worden - maar als een malafide proces al kan sudo'en op je machine dan is het dichten van dit lek geen oplossing voor dat probleem.
Hierom dus:
We discovered that /etc/zshenv has an equivalent for each user profile under ~/.zshenv, which has the same function and behavior but doesn’t require root permissions to write to.
Een rootkit loopt als root, niet als een gebruiker. Elke shell waar ik ooit al mee gewerkt heb heeft zo’n bestand in de home directory van de gebruiker en de gebruiker heeft hier een 7xx permissie op.
Als ik inlog en mijn shell vraagt opeens mijn paswoord voor een sudo actie dan is er duidelijk iets mis.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.