الجديد للمهاجمين”Shrootless”قد يسمح خطأ شروتليس على أنظمة ماك آيفون(Rootkit)بتثبيت رووتكيت
كشفت مايكروسوفت يوم الخميس عن تفاصيل ثغرة أمنية جديدة قد تسمح للمهاجم بتجاوز قيود الأمان في ماك آيفون والسيطرة الكاملة على الجهاز لأداء عمليات عشوائية على الجهاز دون أن يتم الإبلاغ عنها بواسطة حلول الأمان التقليدية.
قال جوناثان بار أور من فريق أبحاث حماية مايكروسوفت في تقرير تقني: “يمكن لممثل ضار إنشاء ملف معد خصيصًا من شأنه أن يخطف عملية التثبيت.”
حماية تكامل النظام (SIP) والمعروفة باسم “بدون جذر” هي ميزة أمان تم تقديمها في آيفون (X El Capitan) وهي مصممة لحماية نظام تشغيل ماك آيفون عن طريق تقييد المستخدم الجذر من تنفيذ تعليمات برمجية غير مصرح بها أو إجراء عمليات قد تعرض سلامة النظام للخطر.
على وجه التحديد، يسمح (SIP) بتعديل الأجزاء المحمية من النظام – مثل / System و / usr و / bin و / sbin و / var – فقط من خلال العمليات الموقعة من قبل آبل أو تلك التي لديها استحقاقات خاصة للكتابة إلى ملفات النظام ، مثل تحديثات برامج آبل ومثبتات آبل، مع المصادقة أيضًا تلقائيًا على التطبيقات التي يتم تنزيلها من متجر تطبيقات ماك.
نظر تحقيق مايكروسوفت في تقنية الأمان في عمليات ماك آيفون التي يحق لها تجاوز حماية (SIP)، مما أدى إلى اكتشاف برنامج خفي لتثبيت البرامج يسمى “system_installd” والذي يمكّن أيًا من عملياتها الفرعية من التحايل تمامًا على قيود نظام ملفات (SIP). وبالتالي، عندما يتم تثبيت حزمة موقعة من آبل، فإنها تستدعي البرنامج الخفي (system_installd)، والذي بدوره ينفذ أي نصوص برمجية بعد التثبيت موجودة في الحزمة عن طريق استدعاء غلاف افتراضي، وهو Z shell (zsh) على ماك آيفون.
وقال بار أور (Bar Or): “من المثير للاهتمام، أنه عندما يبدأ (zsh)، فإنه يبحث عن الملف / etc / zshenv ، وإذا تم العثور عليه، فإنه يقوم بتشغيل الأوامر من هذا الملف تلقائيًا، حتى في الوضع غير التفاعلي. لذلك، لكي يقوم المهاجمون بتنفيذ عمليات عشوائية على الجهاز، فإن المسار الذي يمكن الاعتماد عليه تمامًا هو إنشاء ملف / etc / zshenv ضار ثم انتظار (system_installd) لاستدعاء (zsh)”.
قد يؤدي الاستغلال الناجح لـ (CVE-2021-30892) إلى تمكين تطبيق ضار من تعديل الأجزاء المحمية من نظام الملفات، بما في ذلك القدرة على تثبيت برامج تشغيل (kernel) الخبيثة (المعروفة أيضًا باسم rootkits)، أو الكتابة فوق ملفات النظام، أو تثبيت برامج ضارة مستمرة وغير قابلة للكشف. قالت شركة آبل إنها عالجت المشكلة بقيود إضافية كجزء من التحديثات الأمنية التي تم دفعها في 26 أكتوبر 2021.
قال بار أور: “تعمل تقنية الأمان مثل (SIP) في أجهزة ماك آيفون كحماية أساسية مدمجة للجهاز وخط دفاع أخير ضد البرامج الضارة وتهديدات الأمن السيبراني الأخرى. “لسوء الحظ، تواصل الجهات الخبيثة إيجاد طرق مبتكرة لخرق هذه الحواجز لنفس الأسباب.”
المصدر: https://thehackernews.com/2021/10/new-shrootless-bug-could-let-attackers.html
