تمت معالجة ثغرة في شركة Apple مؤخرًا، حيث نجح المهاجمون الذين يمتلكون امتيازات الجذر في تفادي ميزة حماية تكامل النظام وتثبيت برامج ضارة غير قابلة للإزالة، مما يسمح لهم بالوصول إلى بيانات المستخدم عن طريق التلاعب بعمليات التحقق الأمنية.
تم رصد الثغرة المعروفة بـ Migraine واكتشافها من قِبَل فريق أمان في شركة Microsoft، وتم إبلاغ Apple بها، وتحمل هوية CVE-2023-32369.
تم إصلاح الثغرة الأمنية في التحديثات الأخيرة لنظام التشغيل macOS التي أصدرتها Apple، مثل macOS Ventura 13.4 و macOS Monterey 12.6.6 و macOS Big Sur 11.7.7. تم إصدار هذه التحديثات قبل أسبوعين في 18 مايو الحالي.
تقوم آلية حماية تكامل النظام في نظام macOS بمنع تعديل المجلدات والملفات المحددة من قِبَل البرامج الضارة المحتملة، من خلال فرض قيود على حساب المستخدم الجذر وصلاحياته داخل المناطق المحمية في نظام التشغيل.
تعتمد آلية حماية تكامل النظام على مبدأ السماح فقط للعمليات الموقعة من قِبَل Apple أو الأشخاص الذين يحملون امتيازات خاصة بتغيير المكونات المحمية في macOS، مثل تحديثات برامج Apple وأدوات التثبيت.
علاوة على ذلك، يجب أن نلاحظ أنه لا يمكن تعطيل حماية تكامل النظام بدون إعادة تشغيل النظام وإيقاف وظيفة استعادة MacOS المعروفة. ويتطلب ذلك الوصول الفعلي إلى جهاز مخترق بالفعل.
ووجد باحثون من Microsoft أن المهاجمين الذين يحملون أذونات الجذر يمكنهم تجاوز حماية تكامل النظام عن طريق استغلال التطبيق المساعد macOS Migration Assistant المدمج في نظام التشغيل macOS. يستفيد هذا التطبيق من برنامج systemmigration الخفي ويمكنه تجاوز حماية تكامل النظام باستخدام استحقاق com.apple.rootless.install الخاص به.
أظهرت الدراسات أيضًا أن القراصنة الذين يمتلكون امتيازات الجذر قادرون على تنفيذ عملية الترحيل تلقائيًا باستخدام AppleScript، ومن ثم يمكنهم تنفيذ حمولة ضارة عند إضافتها إلى قائمة استثناءات حماية تكامل النظام في macOS، دون الحاجة إلى إعادة تشغيل النظام أو استخدام خاصية استرداد MacOS.
أكد الباحثون أيضًا أن الانتهاكات التعسفية لحماية تكامل النظام تشكل مخاطر كبيرة، خاصة عند استغلالها من قِبَل مُصنِّعي البرامج الضارة. فهذه التجاوزات تسمح بتضمين الشفرات الضارة التي تؤثر على النظام على المدى البعيد، وتشمل إنشاء برامج ضارة محمية بميزة حماية تكامل النظام والتي لا يمكن إزالتها باستخدام طرق الحذف التقليدية.
إضافة إلى ذلك، يمكن للاستغلال المتزايد للثغرات أن يؤدي إلى زيادة كبيرة في نطاق الهجمات، حيث يستغل المهاجمون هذه الثغرات للتلاعب بسلامة نظام التشغيل وتنفيذ برمجيات خبيثة في نواة النظام. بالإضافة إلى ذلك، يمكن للمهاجمين تثبيت أدوات جذرية (روتكيتس) لإخفاء العمليات والملفات الضارة عن برامج الأمان.
ووفقًا للتقارير، ليست هذه هي المرة الأولى التي يتم فيها الإبلاغ عن ثغرات في نظام MacOS من قبل باحثين في شركة مايكروسوفت خلال السنوات الأخيرة. تم الإبلاغ عن ثغرة أخرى في عام 2021 تسمح بتجاوز حماية تكامل النظام، ولكن تم إصلاحها قبل أن يتم استغلالها من قبل المتسللين.