A legfrissebb OS X védelme is megkerülhető
Újabb, az OS X-et fenyegető sebezhetőség bukkant fel, amellyel kiiktatható a rendszer legújabb főverziójában bevezetett SIP biztonsági funkció.
Alig foltozta be az OS X legutóbbi, nagy kaliberű, a rendszer System Integrity Protection (SIP) védelmi vonalát fenyegető biztonsági rését az Apple, máris új sebezhetőség bukkant fel az operációs rendszerben, amely a legfrissebb patch-csel felvértezett rendszereket is fenyegeti. A német SektionEins biztonsági szakértője, Stefan Esser szerint több, jelenleg is javításra váró a bug is található a rendszerben, amelyekkel a SIP védelme megkerülhető. A kutató észrevételeiről a SyScan360 konferencián beszélt, ugyanott, ahol a fentebb említett sebezhetőségről is először hallhattunk.
A biztonsági szakértő szerint az általa felfedezett bugok közül eddig kettőt orvosolt az Apple, de így is maradt biztonsági rés, amely a 10.11.4 változatában is kihasználható a SIP kijátszására. Az említett védelmi megoldást a cupertinói cég az OS X El Capitannal vezette be, annak lényege, hogy a rendszer bizonyos kritikus részeinek módosítását még a root jogosultságokkal rendelkező felhasználóknál is meggátolja, azt csupán a vállalat aláírásával rendelkező, maroknyi szoftvernek engedi - ezzel a potenciális kártevők lehetőségeit nagyban korlátozva.
Disable AppleKextExcludeList to pwn SIP on 10.11.4: ln -s /S*/*/E*/A*Li*/*/I* /dev/diskX;fsck_cs /dev/diskX 1>&-;touch /Li*/Ex*/;reboot
- Stefan Esser (@i0n1c) March 28, 2016
Hello, itt az idei SYSADMINDAY! Szabadtéri helyszínen idén is megrendezzük a hazai Sysadmindayt. Melós hónapok után ez egy jó lehetőség, hogy találkozzunk barátokkal, kollégákkal.
A SIP azonban, mint az elmúlt hetek példáján látható, még korántsem tökéletes, az Esser által felfedezett sebezhetőség egy tweetben elférő kóddal is kiaknázható. Utóbbi, ahogy Esser a The Registernek elmondta, a CoreStorage logikai kötetcsoportok ellenőrzéséért és javításáért felelős szoftver hibáját használja ki, amely rendelkezik a SIP védelmét élvező fájlok módosításához szükséges jogosultságokkal. A módszerrel a SIP rövid úton kiiktatható, és a root fiókkal a rendszer korábbi verzióiban megismerthez hasonló teljes körű jogosultságok szerezhetők.
A biztonsági szakértő előadásában bemutatott bugot az Apple remélhetőleg rövid úton befoltozza - ugyanakkor nem ez lenne az első eset, hogy a vállalatnál hónapokig tátong érintetlenül egy ismert biztonsági rés, elég csak a Gatekeeper-fiaskóra visszagondolni. Az Apple termékeiben megbújó sebezhetőségek orvoslását az is nagyban megnehezíti, hogy a vállalat több rivális óriással ellentétben nem kínál jutalmat a különböző bugok felfedezőinek - így könnyen előfordulhat, hogy egy-egy hibát a megtalálói inkább a feketepiacon tesznek pénzzé.