كشف فريق أمني من شركة مايكروسوفت، عن ثغرة أمنية في أنظمة تشغيل MacOS التابعة لشركة أبل، تسمح للمهاجمين الذين لديهم امتيازات الجذر(root) بتثبيت برامج ضارة “غير قابلة للحذف” والوصول إلى البيانات الخاصة بالضحية من خلال التحايل على عمليات التحقق من الشفافية والموافقة والتحكم (TCC). وعبر تجاوز نظام (SIP).
تم تتبع الثغرة تحت عنوان CVE-2023-32369، وقامت أبل بتصحيح الثغرة الأمنية في تحديثات الأمان لـ macOS Ventura 13.4 و macOS Monterey 12.6.6 و macOS Big Sur 11.7.7 ، والتي تم إصدارها في 18 مايو 2023.
تفاصيل تقنية حول الثغرة:
SIP هو اختصار لـ “System Integrity Protection” وهو نظام أمان مدمج في نظام التشغيل macOS. يهدف SIP إلى حماية ملفات النظام الحساسة والموارد من التعديل غير المصرح به وتنفيذ البرامج الضارة.
تتضمن وظيفة SIP العديد من القيود على الجذور (root restrictions) في macOS. عندما يكون SIP فعالًا، فإنه يقوم بتقييد حساب المستخدم الجذر (root) ويمنعه من التعديل على بعض الملفات النظام الحساسة والمجلدات.
لكن باحثو Microsoft عثروا على أن المهاجمين الذين لديهم أذونات الجذر يمكنهم تجاوز SIP عن طريق إساءة استخدام الأداة المساعدة macOS Migration Assistant ، وهو تطبيق مضمن يستخدم برنامج systemmigrationd الخفي مع إمكانات تجاوز SIP المستمدة من com.apple.rootless.install الخاص به، لذلك فالمهاجمين الذين لديهم أذونات الجذر يمكنهم أتمتة عملية الترحيل باستخدام AppleScript وإطلاق ملفات ضارة بعد إضافتها إلى قائمة استثناءات SIP دون إعادة تشغيل النظام.
تأتي الخطورة في أن هذه الثغرة تتيح للقراصنة أن يكون تأثيرهم ضار جدًا من خلال إنشاء برامج ضارة محمية بـ SIP لا يمكن إزالتها عبر طرق الحذف التقليدية، وكذلك مع تجاوز حماية SIP يمكن للمهاجمين أن تجاوز (TCC) ، والحصول على إذن وصول دون أي قيود إلى البيانات الخاصة للضحية، وكذلك القدرة على إخفاء الملفات الضارة والعمليات الضارة عن برمجيات مكافحة الفيروسات.
