Microsoft недавно обнаружила эксплойт безопасности, который может позволить злоумышленникам обойти базовую функцию безопасности на компьютерах под управлением macOS. Эта уязвимость, получившая название «Мигрень», может быть использована для обхода Apple System Integrity Protection (SIP) в macOS — функции, которая защищает части операционной системы, связанные с целостностью системы, путем ограничения доступа к определенным файлам — и установки вредоносных программ на компьютер жертвы. Microsoft уведомила Apple об уязвимости в системе безопасности, и компания из Купертино устранила уязвимость в своем последнем обновлении безопасности.
Согласно подробностям, предоставленным Microsoft в Сообщение блога, эксплойт безопасности «Мигрень» основан на Migration Assistant, инструменте, предоставленном Apple, который позволяет пользователям передавать файлы с Mac на Mac или с ПК с Windows на Mac. Приложение Apple Migration Assistant имеет неограниченный root-доступ, что позволяет ему выполнять свою функцию передачи данных, а исследователи безопасности Microsoft воспользовались особым «правом», предоставленным инструменту, на «подвиг».
После изменения помощника по миграции для запуска без выхода пользователя из системы Microsoft смогла запустить инструмент в режиме отладки, чтобы обойти проверку подписи. Компания использовала резервную копию Time Machine размером 1 ГБ с вредоносным ПО, используя сценарий, чтобы Migration Assistant импортировал резервную копию и заразил хост-систему. Весь процесс обошел функцию защиты целостности системы, впервые представленную в macOS в 2015 году.
Модифицированный помощник по миграции Microsoft может работать без выхода из системы
Фото предоставлено: Майкрософт
Следует отметить, что помощник по миграции обычно доступен во время настройки пользователя, а это означает, что злоумышленнику потребуется локальный доступ к машине. Microsoft утверждает, что произвольные системные обходы, такие как Migraine, могут создавать файлы, защищенные SIP, тот же механизм, который он обходит, что очень затрудняет удаление. Злоумышленники также могут выполнять произвольный код ядра и вмешиваться в систему, чтобы активировать руткиты. Microsoft добавляет, что эти эксплойты также могут использоваться для доступа к личным данным, а также к компьютерным аксессуарам и устройствам.
Пользователи, которые обновили свои компьютеры до macOS 13.4 после ее выпуска 18 мая, должны быть защищены от эксплойта, который был исправлен Apple. Microsoft сообщила Apple об уязвимости в системе безопасности, что позволило компании развернуть исправление проблемы. Тем временем компания имеет поблагодарил Джонатан Бар Ор, Анураг Бора и Майкл Пирс из Microsoft за выявление эксплойта.
