Apple introduceerde macOS System Integrity Protection (SIP) in OS X El Capitan in 2015, en het voegt in wezen verschillende beveiligingslagen toe die voorkomen dat applicaties toegang krijgen tot systeembestanden op rootniveau en deze wijzigen. Hoewel gebruikers deze functie handmatig kunnen uitschakelen, is het niet zo eenvoudig om dit te doen. Maar Microsoft heeft een exploit gevonden waarmee aanvallers SIP kunnen omzeilen.
De kwetsbaarheid, Migraine genaamd, kan macOS-systeemintegriteitsbeschermingen omzeilen en willekeurige code-uitvoering op een apparaat mogelijk maken, aldus het bedrijf in zijn beveiligingsblog. De exploit kreeg zijn naam omdat het is gekoppeld aan de macOS Migration Assistant, een ingebouwde tool die gebruikers helpt gegevens van een Mac of Windows-computer naar een andere Mac te verplaatsen.
Zoals uitgelegd in Microsoft, kan het omzeilen van SIP "ernstige gevolgen" hebben, omdat het aanvallers toegang geeft tot alle systeembestanden, waardoor het gemakkelijker wordt om malware en rootkits te installeren. De exploit kon dit doen door speciale privileges te gebruiken die waren ontworpen om onbeperkte root-toegang tot Migration Assistant te verlenen.
In een normale situatie is de tool Migratieassistent alleen beschikbaar tijdens het proces van het aanmaken van een nieuw gebruikersaccount, wat betekent dat hackers niet alleen het uitloggen moeten forceren, maar ook fysieke toegang tot de computer moeten hebben. Maar om het potentiële gevaar van deze exploit aan te tonen, Microsoft toonde aan dat er een manier is om het te gebruiken zonder je zorgen te hoeven maken over de hierboven genoemde beperkingen.
Microsoft heeft het hulpprogramma Migratieassistent aangepast zodat het wordt uitgevoerd zonder dat de gebruiker zich afmeldt. Maar door het aanpassen van het programma crashte het vanwege een codetekenfout. De beveiligingsonderzoekers draaiden vervolgens Setup Assistant (een applicatie die een gebruiker helpt bij het voor de eerste keer instellen van een Mac) in debug-modus, zodat deze zou negeren dat de Migration Assistant was aangepast en geen geldige handtekening had.
Omdat de configuratie-assistent in foutopsporingsmodus draaide, konden onderzoekers de stappen van het installatieproces eenvoudig overslaan en rechtstreeks naar de migratie-assistent gaan. Maar zelfs in een macOS-omgeving vereist dit nog steeds de aanwezigheid van een herstelschijf en interactie met de interface.
Om de exploitatie nog moeilijker te maken, Microsoft heeft een kleine Time Machine-back-up van 1 GB gemaakt die mogelijk malware bevat. Onderzoekers creëerden een scenario AppleEen script dat deze back-up automatisch koppelde en communiceerde met de Migration Assistant-interface zonder dat de gebruiker het merkte. Als gevolg hiervan importeerde de Mac gegevens van deze kwaadaardige back-up.
Gelukkig hoeft u zich geen zorgen te maken als op uw computer de nieuwste versie van macOS Ventura draait. Dit is zo omdat Microsoft gemeld Apple over de exploit, die is verholpen in de macOS 13.4-update die op 18 mei is uitgebracht. Apple bedankte de onderzoekers Microsoft op uw beveiligingspagina.
Als je je Mac nog niet hebt bijgewerkt, zorg er dan voor dat je zo snel mogelijk de nieuwste versie van macOS installeert door naar Systeemvoorkeuren > Algemeen > Software-update te gaan.
Lees ook: