Kẻ tấn công có thể vượt qua SKEL Protection trên macOS High Sierra

Tính năng bảo mật mới trên macOS High Siera (10.13) có tên Secure Kernel Extension Loading có thể bị vượt qua, cho phép tải những phần mở rộng nhân kernel (kernel extension) nhiễm độc.

Cũng như Linux và Windows, macOS cho phép ứng dụng chạy các phần mở rộng nhân kernel của bên thứ 3 khi cần thực hiện các hoạt động yêu cầu truy cập vào OS ở mức thấp.

SKEL cải thiện quá trình tải phần mở rộng nhân kernel

Các nhà phát triển muốn tải phần mở rộng nhân kernel (tập tin KEXT) trong quá trình cài ứng dụng cần phải đăng ký cho phần mở rộng đó một chứng thực đăng ký mã nhân kernel, được Apple lựa chọn cẩn thận khi cấp phép.

macOS High Sierra sắp phát hành của Apple giới thiệu SKEL, công cụ cải thiện khả năng bảo mật của quá trình tải KEXT. SKEL hoạt động bằng cách hiển thị một popup như dưới đây khi ứng dụng cố tải phần mở rộng nhân kernel.

Popup hiển thị khi cố tải phần mở rộng nhân kernel
Popup hiển thị khi cố tải phần mở rộng nhân kernel

Cửa sổ popup này sẽ không hiện ra khi mở 1 số ít ứng dụng đến từ các nhà phát triển có uy tín và một số ít trường hợp khác được ghi chi tiết tại trang SKEL của Apple. https://developer.apple.com/library/content/technotes/tn2459/_index.html#//apple_ref/doc/uid/DTS40017658

SKEL bị vượt qua trước khi phát hành High Sierra

Nếu nhìn thoáng qua, người dùng macOS sẽ thấy hài lòng khi Apple nỗ lực cải thiện bảo mật trên OS bằng SKEL. Nhưng Patrick Wardle, một nhà nghiên cứu an ninh của Apple và là Trưởng phòng nghiên cứu bảo mật tại Synack lại không cho là vậy.

Wardle nói rằng hệ thống SKEL của Apple “chỉ ngăn cản nỗ lực của những người có ý tốt” (những nhà phát triển macOS bên thứ 3 như những người thiết kế phần mềm bảo mật chẳng hạn).

Anh cho rằng “do lỗi khi thực hiện, những kẻ có ý đồ xấu có thể chẳng bị ảnh hưởng gì” trước phương pháp bảo vệ của SKEL.

Công bố chi tiết cách vượt qua SKEL

Để chứng minh điều mình nói, Wardle chỉ ra cách kẻ tấn công có thể vượt qua phương pháp bảo vệ của SKEL trên macOS High Sierra qua trang web Synack https://www.synack.com/2017/09/08/high-sierras-secure-kernel-extension-loading-is-broken/ và blog cá nhân của mình. https://objective-see.com/blog/blog_0x21.html

“Rất tiếc là khi những tính năng bảo mật như vậy được đưa ra, ngay cả với sự chú tâm nhất, nó cũng chỉ làm khó các nhà phát triển bên thứ 3 và người dùng, trong khi chẳng ảnh hưởng gì những kẻ xấu (những kẻ không phải “chơi theo luật”. Wardle nói. “SKEL của High Sierra chính là ví dụ hoàn hảo”.

Vượt qua SKEL chỉ là một phần trong nghiên cứu các kỹ thuật vượt qua việc tải KEXT của Wardle bắt đầu từ năm ngoái và được giới thiệu chi tiết tại hội nghị bảo mật DEF CON 2016.

macOS High Sierra sẽ được phát hành vào 25/9 tới.

Thứ Sáu, 15/09/2017 14:18
31 👨 76
0 Bình luận
Sắp xếp theo