Apple introducerede macOS System Integrity Protection (SIP) i OS X El Capitan i 2015, og det tilføjer i det væsentlige adskillige sikkerhedslag, der blokerer applikationer for at få adgang til og ændre systemfiler på rodniveau. Selvom brugere manuelt kan deaktivere denne funktion, er det ikke så nemt at gøre det. Men Microsoft fundet en udnyttelse, der kunne tillade angribere at omgå SIP.
Sårbarheden, kaldet migræne, kan omgå macOS-systemintegritetsbeskyttelse og tillade vilkårlig kodekørsel på en enhed, sagde virksomheden i sin sikkerhedsblog. Udnyttelsen har fået sit navn, fordi den er knyttet til macOS Migration Assistant, et indbygget værktøj, der hjælper brugere med at flytte data fra en Mac- eller Windows-computer til en anden Mac.
Som forklaret i Microsoft, kan omgåelse af SIP have "alvorlige konsekvenser", fordi det giver angribere adgang til alle systemfiler, hvilket gør det nemmere at installere malware og rootkits. Udnyttelsen var i stand til at gøre dette ved at bruge specielle privilegier designet til at give ubegrænset root-adgang til Migration Assistant.
I en normal situation er Migration Assistant-værktøjet kun tilgængeligt under processen med at oprette en ny brugerkonto, hvilket betyder, at hackere ikke kun skal tvinge et logout, men også have fysisk adgang til computeren. Men for at demonstrere den potentielle fare ved denne udnyttelse, Microsoft viste, at der er en måde at bruge det på uden at bekymre sig om de begrænsninger, der er anført ovenfor.
Microsoft ændrede Migration Assistant-værktøjet, så det kører, uden at brugeren logger af. Men ændring af programmet fik det til at gå ned på grund af en kodetegnfejl. Sikkerhedsforskerne kørte derefter Setup Assistant (et program, der hjælper en bruger med at konfigurere en Mac for første gang) i fejlretningstilstand, så den ville ignorere det faktum, at Migration Assistant var blevet ændret og ikke havde en gyldig signatur.
Fordi installationsassistenten kørte i fejlretningstilstand, kunne forskere nemt springe trinene i opsætningsprocessen over og gå direkte til migreringsassistenten. Men selv i et macOS-miljø ville dette stadig kræve tilstedeværelsen af en gendannelsesdisk og interaktion med grænsefladen.
For at gøre udnyttelsen endnu sværere, Microsoft oprettet en lille 1GB Time Machine-sikkerhedskopi, der kan indeholde malware. Forskere skabte et scenarie AppleEt script, der automatisk monterede denne backup og interagerede med Migration Assistant-grænsefladen, uden at brugeren selv bemærkede det. Som et resultat importerede Mac'en data fra denne ondsindede sikkerhedskopi.
Heldigvis behøver du ikke bekymre dig, hvis din computer kører den nyeste version af macOS Ventura. Dette er fordi Microsoft rapporteret Apple om udnyttelsen, som blev rettet i macOS 13.4-opdateringen udgivet den 18. maj. Apple takkede forskerne Microsoft på din sikkerhedsside.
Hvis du ikke har opdateret din Mac endnu, skal du sørge for at installere den nyeste version af macOS så hurtigt som muligt ved at gå til Systemindstillinger > Generelt > Softwareopdatering.
Læs også: