Microsoft phát hiện một lỗ hổng nghiêm trọng trên macOS

Microsoft vừa phát hiện ra một lỗ hổng nghiêm trọng trên macOS của Apple. Kẻ tấn công có thể khai thác lỗ hổng mang tên Shrootless này để vượt qua Hệ thống Bảo vệ Toàn vẹn (System Integrity Protection - SIP) của Apple và thực hiện các hành động tùy ý, nâng cao đặc quyền để root và cài đặt rootkit trên các thiết bị của nạn nhân.

Sau khi phát hiện ra lỗ hổng, nhóm nghiên cứu bảo mật Microsoft 365 Defender Reseach Team đã báo cáo cho Apple thông qua chương trình Microsoft Security Vulnerability Research (MSVR). Lỗ hổng cũng đã được gán mã CVE là CVE-2021-30892 để tiện theo dõi.

SIP (hay còn được gọi là rootless) là một công nghệ bảo mật của macOS giúp ngăn chặn phần mềm độc hại can thiệp vào các thư mục và tệp được bảo vệ. SIP hoạt động bằng cách hạn chế tài khoản người dùng root và giới hạn các hành động mà nó có thể thực hiện trên các phần được bảo vệ của hệ điều hành.

Theo thiết kế, SIP chỉ cho phép các chương trình đã được chứng nhận bởi Apple hoặc các đối tượng có quyền đặc biệt (các bản cập nhật phần mềm của Apple và các trình cài đặt của Apple) can thiệp, sửa đổi các phần được bảo vệ của macOS.

Các nhà nghiên cứu của Microsoft phát hiện ra Shrootless sau khi nhận thấy rằng daemon system-installd có quyền com.apple.rootless.install.inheritable cho phép bất kỳ quy trình con nào cũng có thể vượt qua các hạn chế của hệ thống SIP.

Theo chuyên gia của Microsoft, sau khi vượt qua SIP, kẻ tấn công có thể cài đặt các rootkit vào máy, ghi đè các tệp hệ thống hoạc cài đặt mã độc mà không bị phát hiện.

Apple đã tung ra bản vá cho lỗ hổng Shrootless vào ngày 26/10. Chuyên gia của Microsoft đánh giá cao sự chuyên nghiệp và nhanh nhạy của Apple trong việc xử lý lỗ hổng bảo mật này.