Phát hiện lỗ hổng Shrootless trong macOS cho phép cài đặt Rootkit

16:00 | 10/11/2021 | LỖ HỔNG ATTT

Microsoft vừa công bố thông tin về một lỗ hổng trong nền tảng macOS có thể cho phép kẻ tấn công vượt qua các hạn chế bảo mật và kiểm soát hoàn toàn thiết bị để thực hiện các hoạt động tùy ý.

Phát hiện lỗ hổng Shrootless trong macOS cho phép cài đặt Rootkit

Lỗ hổng Shrootless có định danh CVE-2021-30892 tồn tại trong phương thức được sử dụng để cài đặt các gói đã được Apple ký bằng các tập lệnh sau khi cài đặt. Kẻ tấn công khai thác lỗ hổng bằng cách tạo một tệp đặc biệt cho phép chiếm quyền điều khiển quá trình cài đặt của các gói.

Apple đã giới thiệu một tính năng bảo mật có tên là Bảo vệ toàn vẹn hệ thống (SIP) hay còn gọi là rootless. Tính năng này hạn chế người dùng thực thi mã trái phép hoặc thực hiện các hoạt động có thể ảnh hưởng đến tính toàn vẹn của hệ thống.

Cụ thể, SIP cho phép sửa đổi các phần được bảo vệ của hệ thống chẳng hạn như /System, /usr, /bin, /sbin và /var chỉ bằng các quy trình được ký bởi Apple hoặc những quy trình có quyền đặc biệt để ghi vào tệp hệ thống, như các bản cập nhật phần mềm của Apple và trình cài đặt của Apple. Đồng thời, tự động cho phép các ứng dụng được tải xuống từ Mac App Store. Apple cũng cải thiện các giới hạn SIP để tối ưu công nghệ, bao gồm thêm một số quyền cho các quy trình cụ thể của Apple, chẳng hạn như các bản cập nhật hệ thống, có quyền truy cập không hạn chế vào các thư mục được bảo vệ bằng SIP.

Cuộc điều tra của Microsoft đã phát hiện ra một daemon system_installd có quyền cho phép các tiến trình con vượt qua các giới hạn của hệ thống tệp SIP khi một gói do Apple ký đang được cài đặt, daemon system_installd thực thi tập lệnh bằng cách gọi trình shell, zsh mặc định.

Microsoft cho biết: “Khi zsh khởi động, nó sẽ tìm kiếm tệp /etc/zshenv và nếu tìm thấy, sẽ tự động chạy các lệnh từ tệp đó, ngay cả trong chế độ không tương tác. Do đó, để thực hiện các thao tác tùy ý trên thiết bị, những kẻ tấn công có thể tạo một tệp /etc/zshenv độc hại và sau đó đợi system_installd gọi zsh”.

Việc khai thác thành công CVE-2021-30892 cho phép ứng dụng độc hại có thể sửa đổi các phần được bảo vệ của hệ thống tệp, bao gồm khả năng cài đặt trình điều khiển hạt nhân độc hại, ghi đè tệp hệ thống hoặc cài đặt phần mềm độc hại liên tục và không thể bị phát hiện.

Về phía Apple, hãng đã xử lý lỗ hổng trong bản cập nhật phát hành ngày 26/10.

Phương Thanh (Theo The Hacker News)

‹ › ×

Tin liên quan

Những điều cần biết về rootkit

15:34 | 05/04/2008

Cái tên này bắt nguồn từ tên người dùng có quyền cao nhất trong các hệ điều hành Unix, “root” – người dùng tương tự như Administrator trong Windows và việc từ nhiều năm trước đây, có người đã chiếm được quyền root và cài đặt bộ phần mềm gọi là kit vào hệ thống

Cập nhật bản vá lỗ hổng bảo mật tháng 10/2021

09:00 | 02/11/2021

Trung tuần tháng 10/2021, Microsoft, Adobe và Mozilla đã phát hành các bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt các bản vá để phòng tránh rủi ro mất an toàn thông tin.

Lỗ hổng CVE-2021-42299 ảnh hưởng đến thiết bị Surface Pro 3

15:00 | 02/11/2021

Microsoft vừa cảnh báo một lỗ hổng bảo mật ảnh hưởng đến máy tính xách tay Surface Pro 3. Lỗ hổng này có thể bị tin tặc lợi dụng để đưa các thiết bị độc hại vào mạng doanh nghiệp.

Tin tặc khai thác lỗ hổng ProxyLogon và ProxyShell trong các chiến dịch spam

14:00 | 14/12/2021

Các nhà nghiên cứu của Trend Micro vừa tiết lộ đã phát hiện tin tặc đang tiến hành khai thác hai lỗ hổng ProxyLogon và ProxyShell trong các máy chủ Microsoft Exchange chưa được vá. Đây là một phần của chiến dịch spam đang diễn ra, nhằm tận dụng các chuỗi email bị đánh cắp để vượt qua các phần mềm bảo mật, từ đó có thể triển khai mã độc trên các hệ thống bị ảnh hưởng.

Tin cùng chuyên mục

Plugin GPT của bên thứ ba có thể khiến người dùng bị chiếm đoạt tài khoản

08:00 | 04/04/2024

Các nhà nghiên cứu bảo mật phát hiện ra plugin của bên thứ ba hiện có dành cho ChatGPT có thể hoạt động như một bề mặt tấn công mới để truy cập trái phép vào dữ liệu nhạy cảm.

Phần mềm độc hại WogRAT mới lợi dụng Notepad trực tuyến để lưu trữ và phân phối mã độc

08:00 | 12/03/2024

Mới đây, các nhà nghiên cứu từ Trung tâm Ứng phó khẩn cấp bảo mật AhnLab - ASEC (Hàn Quốc) phát hiện phần mềm độc hại mới có tên WogRAT, đang được các tác nhân đe dọa triển khai trong các cuộc tấn công lạm dụng nền tảng Notepad trực tuyến có tên là aNotepad để bí mật lưu trữ và truy xuất mã độc trên cả Windows và Linux.

Khám phá Trojan ngân hàng Coyote

07:00 | 11/03/2024

Mới đây, các nhà nghiên cứu của hãng bảo mật Kaspersky (Nga) đã phát hiện một Trojan ngân hàng tinh vi mới đánh cắp thông tin tài chính nhạy cảm có tên là Coyote, mục tiêu là người dùng của hơn 60 tổ chức ngân hàng, chủ yếu từ Brazil. Điều chú ý là chuỗi lây nhiễm phức tạp của Coyote sử dụng nhiều kỹ thuật tiên tiến khác nhau, khiến nó khác biệt với các trường hợp lây nhiễm Trojan ngân hàng trước đó. Phần mềm độc hại này sử dụng trình cài đặt Squirrel để phân phối, tận dụng NodeJS và ngôn ngữ lập trình đa nền tảng tương đối mới có tên Nim làm trình tải (loader) trong chuỗi lây nhiễm. Bài viết này sẽ phân tích hoạt động và khám phá khả năng của Trojan ngân hàng này.

Giải mã Ducktail: Phần mềm độc hại có nguồn gốc từ Việt Nam

07:00 | 11/12/2023

Hoạt động từ cuối năm 2021, Ducktail là họ phần mềm độc hại nhằm mục đích đánh cắp tài khoản doanh nghiệp trên Facebook. Theo báo cáo của 2 hãng bảo mật WithSecure (Phần Lan) và GridinSoft (Ukraine) cho biết các cuộc tấn công Ducktail được thực hiện bởi một nhóm tin tặc đến từ Việt Nam.