Apple παρουσίασε το macOS System Integrity Protection (SIP) στο OS X El Capitan το 2015 και ουσιαστικά προσθέτει πολλά επίπεδα ασφάλειας που εμποδίζουν τις εφαρμογές να έχουν πρόσβαση και να τροποποιούν αρχεία συστήματος σε επίπεδο ρίζας. Αν και οι χρήστες μπορούν να απενεργοποιήσουν χειροκίνητα αυτήν τη δυνατότητα, δεν είναι τόσο εύκολο να το κάνουν. Αλλά Microsoft βρήκε ένα exploit που θα μπορούσε να επιτρέψει στους εισβολείς να παρακάμψουν το SIP.
Η ευπάθεια, που ονομάζεται Migraine, μπορεί να παρακάμψει τις προστασίες ακεραιότητας του συστήματος macOS και να επιτρέψει την αυθαίρετη εκτέλεση κώδικα σε μια συσκευή, ανέφερε η εταιρεία στο ιστολόγιο ασφαλείας της. Το exploit πήρε το όνομά του επειδή συνδέεται με το macOS Migration Assistant, ένα ενσωματωμένο εργαλείο που βοηθά τους χρήστες να μετακινούν δεδομένα από έναν υπολογιστή Mac ή Windows σε άλλο Mac.
Όπως εξηγείται στο Microsoft, η παράκαμψη του SIP μπορεί να έχει "σοβαρές συνέπειες", επειδή παρέχει στους εισβολείς πρόσβαση σε όλα τα αρχεία συστήματος, καθιστώντας ευκολότερη την εγκατάσταση κακόβουλου λογισμικού και rootkits. Το exploit μπόρεσε να το κάνει αυτό χρησιμοποιώντας ειδικά προνόμια που έχουν σχεδιαστεί για να παρέχουν απεριόριστη πρόσβαση root στο Migration Assistant.
Σε μια κανονική κατάσταση, το εργαλείο Migration Assistant είναι διαθέσιμο μόνο κατά τη διαδικασία δημιουργίας νέου λογαριασμού χρήστη, πράγμα που σημαίνει ότι οι χάκερ πρέπει όχι μόνο να επιβάλλουν την αποσύνδεση, αλλά και να έχουν φυσική πρόσβαση στον υπολογιστή. Αλλά για να δείξουμε τον πιθανό κίνδυνο αυτής της εκμετάλλευσης, Microsoft έδειξε ότι υπάρχει τρόπος να το χρησιμοποιήσετε χωρίς να ανησυχείτε για τους περιορισμούς που αναφέρονται παραπάνω.
Microsoft τροποποίησε το βοηθητικό πρόγραμμα Migration Assistant έτσι ώστε να εκτελείται χωρίς να αποσυνδεθεί ο χρήστης. Αλλά η τροποποίηση του προγράμματος προκάλεσε τη διακοπή λειτουργίας του λόγω σφάλματος υπογραφής κώδικα. Στη συνέχεια, οι ερευνητές ασφαλείας έτρεξαν το Setup Assistant (μια εφαρμογή που βοηθά έναν χρήστη να ρυθμίσει ένα Mac για πρώτη φορά) σε λειτουργία εντοπισμού σφαλμάτων, έτσι ώστε να αγνοήσει το γεγονός ότι το Migration Assistant είχε τροποποιηθεί και δεν είχε έγκυρη υπογραφή.
Επειδή ο Βοηθός εγκατάστασης λειτουργούσε σε λειτουργία εντοπισμού σφαλμάτων, οι ερευνητές μπορούσαν εύκολα να παρακάμψουν τα βήματα της διαδικασίας εγκατάστασης και να μεταβούν απευθείας στον Βοηθό μετεγκατάστασης. Αλλά ακόμη και σε περιβάλλον macOS, αυτό θα απαιτούσε ακόμα την παρουσία ενός δίσκου ανάκτησης και αλληλεπίδραση με τη διεπαφή.
Για να γίνει ακόμα πιο δύσκολη η εκμετάλλευση, Microsoft δημιούργησε ένα μικρό αντίγραφο ασφαλείας 1 GB Time Machine που μπορεί να περιέχει κακόβουλο λογισμικό. Οι ερευνητές δημιούργησαν ένα σενάριο AppleΈνα σενάριο που προσάρτησε αυτόματα αυτό το αντίγραφο ασφαλείας και αλληλεπιδρούσε με τη διεπαφή του Βοηθού μετεγκατάστασης χωρίς καν να το αντιληφθεί ο χρήστης. Ως αποτέλεσμα, ο Mac εισήγαγε δεδομένα από αυτό το κακόβουλο αντίγραφο ασφαλείας.
Ευτυχώς, δεν χρειάζεται να ανησυχείτε εάν ο υπολογιστής σας εκτελεί την πιο πρόσφατη έκδοση του macOS Ventura. Αυτό είναι επειδή Microsoft έχουν αναφερθεί Apple σχετικά με το exploit, το οποίο διορθώθηκε στην ενημέρωση macOS 13.4 που κυκλοφόρησε στις 18 Μαΐου. Apple ευχαρίστησε τους ερευνητές Microsoft στη σελίδα ασφαλείας σας.
Εάν δεν έχετε ενημερώσει ακόμα το Mac σας, φροντίστε να εγκαταστήσετε την πιο πρόσφατη έκδοση του macOS το συντομότερο δυνατό μεταβαίνοντας στις Προτιμήσεις συστήματος > Γενικά > Ενημέρωση λογισμικού.
Διαβάστε επίσης: