Buzz
Một Lỗ Hổng Đơn Đốt Hỏa Mọi Tầng Bảo Mật trong MacOS
Mỗi khi bạn tắt máy Mac, một cửa sổ hiện lên: “Bạn có chắc muốn tắt máy tính ngay bây giờ không?” Dưới lời nhắc này là một lựa chọn mà hầu hết chúng ta có thể bỏ qua: lựa chọn để mở lại ứng dụng và cửa sổ bạn đang sử dụng khi máy được bật lại. Các nhà nghiên cứu đã tìm ra cách khai thác một lỗ hổng trong tính năng “trạng thái đã lưu” này—và nó có thể được sử dụng để phá vỡ các tầng bảo mật chính của Apple.
Lỗ hổng này, có thể bị tấn công bằng phương pháp tiêm chất để đột nhập vào bảo mật macOS, có thể cho phép một kẻ tấn công đọc mọi tệp trên một Mac hoặc kiểm soát webcam, theo Thijs Alkemade, một nhà nghiên cứu bảo mật tại công ty an ninh mạng Computest đóng tại Hà Lan. “Đó thực sự là một lỗ hổng có thể áp dụng vào ba vị trí khác nhau,” ông nói.
Sau khi triển khai cuộc tấn công ban đầu vào tính năng trạng thái đã lưu, Alkemade đã có thể di chuyển qua các phần khác của hệ sinh thái Apple: trước tiên thoát khỏi hộp cát macOS, được thiết kế để giới hạn các hack thành công chỉ đối với một ứng dụng, và sau đó là vượt qua Bảo vệ Tích Hợp Hệ Thống (SIP), một phòng thủ chính được thiết kế để ngăn chặn mã được ủy quyền từ việc truy cập vào các tệp nhạy cảm trên một Mac.
Alkemade—người đang trình bày công việc tại hội nghị Black Hat ở Las Vegas tuần này—đầu tiên phát hiện lỗ hổng vào tháng 12 năm 2020 và báo cáo vấn đề cho Apple thông qua chương trình tiền thưởng sửa lỗi của họ. Ông nhận được một phần thưởng “khá là đẹp”, theo ông nói, mặc dù ông từ chối tiết lộ số tiền cụ thể. Kể từ đó, Apple đã phát hành hai bản cập nhật để sửa lỗi, đầu tiên vào tháng 4 năm 2021 và sau đó là tháng 10 năm 2021.
Khi được hỏi về lỗ hổng, Apple cho biết họ không có bất kỳ bình luận nào trước khi Alkemade trình bày. Hai bản cập nhật công khai của công ty về lỗ hổng này không cung cấp nhiều chi tiết, nhưng họ nói rằng các vấn đề này có thể cho phép các ứng dụng độc hại rò rỉ thông tin người dùng nhạy cảm và leo thang quyền hạn để kẻ tấn công di chuyển qua hệ thống.
Các thay đổi của Apple cũng có thể được nhìn thấy trong Xcode, môi trường phát triển ứng dụng của công ty, một bài đăng trên blog mô tả về cuộc tấn công từ Alkemade cho biết. Nhà nghiên cứu cho biết trong khi Apple đã sửa lỗi cho các Mac chạy hệ điều hành Monterey, được phát hành vào tháng 10 năm 2021, các phiên bản trước đó của macOS vẫn dễ bị tấn công.
Để thực hiện cuộc tấn công thành công, có nhiều bước, nhưng về cơ bản chúng quay lại với lỗ hổng tiêm chất quy trình ban đầu. Các cuộc tấn công tiêm chất quy trình cho phép hacker tiêm mã vào thiết bị và chạy mã theo một cách khác với những gì ban đầu được dự định.
Các cuộc tấn công không phải là điều hiếm gặp. “Rất có thể tìm thấy lỗ hổng tiêm chất quy trình trong một ứng dụng cụ thể,” Alkemade nói. “Nhưng có một lỗ hổng có thể áp dụng phổ quát như vậy là một điều rất hiếm gặp,” ông nói.
Lỗ hổng mà Alkemade phát hiện nằm trong một đối tượng “serialized” trong hệ thống trạng thái đã lưu, lưu trữ các ứng dụng và cửa sổ bạn đang mở khi bạn tắt máy Mac. Hệ thống trạng thái đã lưu này cũng có thể chạy trong khi máy Mac đang sử dụng, trong một quá trình gọi là App Nap.
Khi một ứng dụng được khởi chạy, Alkemade nói, nó đọc một số tệp và cố gắng tải chúng bằng phiên bản không an toàn của đối tượng “serialized”. “Trong tất cả các hệ điều hành của Apple, những đối tượng serialized này được sử dụng khắp nơi, thường là để trao đổi dữ liệu giữa các quá trình,” nhà nghiên cứu viết trong bài đăng trên blog mô tả về cuộc tấn công. “Cách thức hoạt động của cuộc tấn công là bạn có thể tạo các tệp đó ở nơi mà ứng dụng khác sẽ tải chúng từ đó,” Alkemade nói. Đơn giản là, một “đối tượng serialized” độc hại được tạo ra và có thể làm cho hệ thống hoạt động không đúng như mong đợi.
Từ đây, Alkemade đã có thể thoát khỏi hộp cát ứng dụng Mac bằng cách sử dụng lỗ hổng—đây là lỗi đầu tiên mà Apple đã sửa. Bằng cách tiêm chất mã vào một ứng dụng khác, có thể mở rộng những gì cuộc tấn công có thể làm. Cuối cùng, Alkemade đã có thể vượt qua Bảo vệ Tích Hợp Hệ Thống mà được thiết kế để ngăn mã không được ủy quyền từ việc đọc hoặc thay đổi các tệp nhạy cảm. “Thực sự là, tôi có thể đọc toàn bộ các tệp trên ổ đĩa và cũng chỉnh sửa một số tệp hệ thống cụ thể,” ông nói.
Hiện chưa có bằng chứng cho thấy lỗ hổng đã được khai thác trong thế giới thực. Tuy nhiên, lỗ hổng này cho thấy rằng, trong một số trường hợp, kẻ tấn công có thể di chuyển qua toàn bộ hệ điều hành, ngày càng có khả năng truy cập vào nhiều dữ liệu hơn. Trên trang mô tả cho bài nói chuyện của mình, Alkemade cho biết khi bảo mật cục bộ trên macOS di chuyển hướng tới một mô hình iOS, điều này làm nổi bật rằng nhiều phần của hệ thống cần được xem xét lại.
