Microsoft heeft een kwetsbaarheid ontdekt waardoor een aanvaller System Integrity Protection (SIP) in macOS kan omzeilen en willekeurige bewerkingen op een apparaat kan uitvoeren.

De techgigant heeft ook een vergelijkbare techniek gevonden waarmee een aanvaller zijn privileges kan verhogen om een ​​getroffen apparaat te rooten. Microsoft heeft deze bevindingen met Apple gedeeld via Coordinated Vulnerability Disclosure (CVD) via Microsoft Security Vulnerability Research (MSVR). Een oplossing voor dit beveiligingslek, nu geïdentificeerd als CVE-2021-30892, is opgenomen in de beveiligingsupdates die op 26 oktober 2021 door Apple zijn uitgebracht. SIP is een beveiligingstechnologie in macOS die een rootgebruiker verhindert bewerkingen uit te voeren die de systeemintegriteit in gevaar kunnen brengen. De kwetsbaarheid werd  ontdekt tijdens het beoordelen van processen die het recht hebben om SIP-beveiligingen te omzeilen.

We ontdekten dat de kwetsbaarheid ligt in de manier waarop door Apple ondertekende pakketten met post-installatiescripts worden geïnstalleerd. Een kwaadwillende acteur zou een speciaal vervaardigd bestand kunnen maken dat het installatieproces zou kapen. Nadat de aanvaller de beperkingen van SIP heeft omzeild, kan hij onder andere een kwaadaardig kernelstuurprogramma (rootkit) installeren, systeembestanden overschrijven of persistente, niet-detecteerbare malware installeren. 

Dat zegt Jonathan Bar Or van het Microsoft 365 Defender Research Team in zijn blog.

Deze kwetsbaarheid op OS-niveau draagt bij aan het groeiende aantal mogelijke aanvalspunten die aanvallers kunnen misbruiken. Naarmate netwerken steeds heterogener worden, neemt ook het aantal bedreigingen toe dat probeert om niet-Windows-apparaten te compromitteren. Microsoft Defender voor Endpoint op Mac stelt organisaties in staat om inzicht te krijgen en bedreigingen op macOS-apparaten te detecteren. Hiermee kunnen bedrijven kwetsbaarheden en bedreigingen op verschillende platformen detecteren, beheren, anticiperen en verhelpen.

 

Lees het gehele blog op: Microsoft finds new macOS vulnerability, Shrootless, that could bypass System Integrity Protection – Microsoft Security Blog