Lỗ hổng Shrootless có định danh CVE-2021-30892 tồn tại trong phương thức được sử dụng để cài đặt các gói đã được Apple ký bằng các tập lệnh sau khi cài đặt. Kẻ tấn công khai thác lỗ hổng bằng cách tạo một tệp đặc biệt cho phép chiếm quyền điều khiển quá trình cài đặt của các gói.
Apple đã giới thiệu một tính năng bảo mật có tên là Bảo vệ toàn vẹn hệ thống (SIP) hay còn gọi là rootless. Tính năng này hạn chế người dùng thực thi mã trái phép hoặc thực hiện các hoạt động có thể ảnh hưởng đến tính toàn vẹn của hệ thống.
Cụ thể, SIP cho phép sửa đổi các phần được bảo vệ của hệ thống chẳng hạn như /System, /usr, /bin, /sbin và /var chỉ bằng các quy trình được ký bởi Apple hoặc những quy trình có quyền đặc biệt để ghi vào tệp hệ thống, như các bản cập nhật phần mềm của Apple và trình cài đặt của Apple. Đồng thời, tự động cho phép các ứng dụng được tải xuống từ Mac App Store. Apple cũng cải thiện các giới hạn SIP để tối ưu công nghệ, bao gồm thêm một số quyền cho các quy trình cụ thể của Apple, chẳng hạn như các bản cập nhật hệ thống, có quyền truy cập không hạn chế vào các thư mục được bảo vệ bằng SIP.
Cuộc điều tra của Microsoft đã phát hiện ra một daemon system_installd có quyền cho phép các tiến trình con vượt qua các giới hạn của hệ thống tệp SIP khi một gói do Apple ký đang được cài đặt, daemon system_installd thực thi tập lệnh bằng cách gọi trình shell, zsh mặc định.
Microsoft cho biết: “Khi zsh khởi động, nó sẽ tìm kiếm tệp /etc/zshenv và nếu tìm thấy, sẽ tự động chạy các lệnh từ tệp đó, ngay cả trong chế độ không tương tác. Do đó, để thực hiện các thao tác tùy ý trên thiết bị, những kẻ tấn công có thể tạo một tệp /etc/zshenv độc hại và sau đó đợi system_installd gọi zsh”.
Việc khai thác thành công CVE-2021-30892 cho phép ứng dụng độc hại có thể sửa đổi các phần được bảo vệ của hệ thống tệp, bao gồm khả năng cài đặt trình điều khiển hạt nhân độc hại, ghi đè tệp hệ thống hoặc cài đặt phần mềm độc hại liên tục và không thể bị phát hiện.
Về phía Apple, hãng đã xử lý lỗ hổng trong bản cập nhật phát hành ngày 26/10.
Phương Thanh (Theo The Hacker News)
15:34 | 05/04/2008
09:00 | 02/11/2021
15:00 | 02/11/2021
14:00 | 14/12/2021
19:00 | 30/04/2024
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
10:00 | 24/04/2024
Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.
10:00 | 21/02/2024
Một tác nhân đe dọa có động cơ tài chính đã sử dụng thiết bị USB để lây nhiễm phần mềm độc hại ban đầu và lạm dụng các nền tảng trực tuyến hợp pháp, bao gồm GitHub, Vimeo và Ars Technica để lưu trữ các payload được mã hóa.
08:00 | 19/01/2024
Các nhà nghiên cứu an ninh mạng của hãng bảo mật Malwarebytes (Mỹ) đã xác định được phiên bản cập nhật của phần mềm đánh cắp thông tin trên macOS có tên là Atomic Stealer (hoặc AMOS), cho thấy các tác nhân đe dọa phát triển phần mềm độc hại này đang tích cực nâng cao khả năng của nó. Trong bài viết này sẽ xem xét những thay đổi mới nhất của Atomic Stealer và việc phân phối gần đây các quảng cáo độc hại thông qua công cụ tìm kiếm Google.
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
19:00 | 30/04/2024