Apple memperkenalkan macOS System Integrity Protection (SIP) di OS X El Capitan pada tahun 2015, dan pada dasarnya menambahkan beberapa lapisan keamanan yang memblokir aplikasi mengakses dan memodifikasi file sistem tingkat root. Meski pengguna bisa menonaktifkan fitur ini secara manual, namun tidak semudah itu untuk melakukannya. Tetapi Microsoft menemukan eksploitasi yang memungkinkan penyerang melewati SIP.
Kerentanan, yang disebut Migrain, dapat melewati perlindungan integritas sistem macOS dan memungkinkan eksekusi kode arbitrer pada perangkat, kata perusahaan itu di blog keamanannya. Eksploitasi mendapatkan namanya karena ditautkan ke macOS Migration Assistant, alat bawaan yang membantu pengguna memindahkan data dari komputer Mac atau Windows ke Mac lain.
Seperti yang dijelaskan di Microsoft, melewati SIP dapat menimbulkan "konsekuensi serius" karena memberikan penyerang akses ke semua file sistem, sehingga lebih mudah untuk menginstal malware dan rootkit. Eksploitasi dapat melakukan hal ini dengan menggunakan hak istimewa yang dirancang untuk memberikan akses root tidak terbatas ke Asisten Migrasi.
Dalam situasi normal, alat Asisten Migrasi hanya tersedia selama proses pengaturan akun pengguna baru, yang berarti peretas tidak hanya perlu memaksa logout, namun juga memiliki akses fisik ke komputer. Namun untuk menunjukkan potensi bahaya dari eksploitasi ini, Microsoft menunjukkan bahwa ada cara untuk menggunakannya tanpa mengkhawatirkan batasan yang tercantum di atas.
Microsoft memodifikasi utilitas Asisten Migrasi agar dapat berjalan tanpa pengguna keluar. Namun memodifikasi program menyebabkannya crash karena kesalahan tanda kode. Peneliti keamanan kemudian menjalankan Setup Assistant (aplikasi yang membantu pengguna mengatur Mac untuk pertama kalinya) dalam mode debug sehingga mengabaikan fakta bahwa Migration Assistant telah dimodifikasi dan tidak memiliki tanda tangan yang valid.
Karena Asisten Penyiapan berjalan dalam mode debug, peneliti dapat dengan mudah melewati langkah-langkah proses penyiapan dan langsung membuka Asisten Migrasi. Tetapi bahkan di lingkungan macOS, ini masih memerlukan keberadaan disk pemulihan dan interaksi dengan antarmuka.
Untuk membuat eksploitasi menjadi lebih sulit, Microsoft membuat cadangan Time Machine kecil berukuran 1 GB yang mungkin berisi malware. Peneliti membuat skenario AppleSkrip yang memasang cadangan ini secara otomatis dan berinteraksi dengan antarmuka Asisten Migrasi tanpa disadari oleh pengguna. Akibatnya, Mac mengimpor data dari cadangan berbahaya ini.
Untungnya, Anda tidak perlu khawatir jika komputer Anda menjalankan macOS Ventura versi terbaru. hal ini dikarenakan Microsoft dilaporkan Apple tentang eksploit, yang diperbaiki dalam pembaruan macOS 13.4 yang dirilis pada 18 Mei. Apple mengucapkan terima kasih kepada para peneliti Microsoft di halaman keamanan Anda.
Jika Anda belum memperbarui Mac, pastikan Anda menginstal macOS versi terbaru sesegera mungkin dengan masuk ke System Preferences > General > Software Update.
Baca juga: