1.3억명 애플 사용자들에게 영향을 줄 수 있는 취약점 발견!

1.3억명 애플 사용자들에게 영향을 줄 수 있는 취약점 발견!

The code to bypass Apple System Integrity Protection security mechanism fits in a Tweet

최근 애플 디바이스 취약점 및 이 취약점을 이용할 수 있는 익스플로잇 코드가 공개되었습니다. 

3월 넷째주, 애플의 보안기능인 SIP(System Intergrity Protection)를 우회할 수 있는 취약점 CVE-2016-1757가 공개되었습니다. 그리고 해당 취약점이 공개된지 일주일 후, 애플은 OS X EL Capitan 10.11.4와 iOS 9.3 시스템에 보안업데이트를 진행하여 해당 취약점을 패치하였습니다. 

하지만 보안전문가들은 이번 보안업데이트 이후에도 해당 취약점이 여전히 사용될 수 있다고 밝혔습니다. 

SentinelOne의 보안연구원 Pedro Vilaca이 처음 발견한 이 취약점은 1.3억명이 넘는 애플 사용자들이 영향을 받고 있으며, 이 취약점은 OS X 의 여러 버전에 존재한다고 밝혔습니다. 또한 해당 취약점과 관련된 보고서를 애플에 제출하였습니다. 

공격자가 해당 취약점을 이용하여 멀티스테이지 공격을 감행할 수 있으며, 사용자의 민감정보를 유출할 수도 있습니다. 뿐만 아니라, OS X El Capitan SIP 최신버전의 보안기능을 우회할 수 있으며, 다른 프로세스를 수정하여 root권한을 획득할 수도 있습니다. 

SIP 보호 메커니즘에 대해, mark /System,/bin,/sbin 및 /usr except/usr/local 이 목록의 문서들에는 고유의 표식들이있는데, 이는 즉 특정한 권한이 있어야만 해당파일들을 수정할 수 있다는 것입니다.  해당 취약점을 이용하면 SIP를 우회하여 권한상승을 하여 시스템의 완전성을 우회할 수 있으며, 동시에 백도어를 제공하게 됩니다. 

SentinelOne의 보안연구원은 애플의 이번 보안패치에 대하여매우 실망스럽고, 심지어 패치 후에도 여전이 해당 취약점이 존재한다고 밝혔습니다. 

현재 Stefan Esser은 새로운 코드를 공개하였는데, 해당코드를이용하면, SIP 보호 매커니즘을 우회할 수 있습니다. 

Esser가 말하길, SIP 보호 메커니즘의 프로세스에 영향을주는것은 특별한 상황에서가 아니며, 현재도 여전히 많은 버전의 디바이스들에 취약점이 존재한다고 밝혔습니다. 

독일의 보안회사 SektionEins의 보안연구원인 Stafan Esser은 올해 SyScan360 컨퍼런스에서 SIP 취약점과 관련된 주제에 대하여 발표하였으며, SIP취약점이 OS X 10.11.2에 존재한다고 밝혔습니다.(현재는 이미 패치 됨)

ln -s /S*/*/E*/A*Li*/*/I* /dev/diskX;fsck_cs /dev/diskX 1>&-;touch /Li*/Ex*/;reboot

확장 코드

ln -s /System/Library/Extensions/AppleKextExcludeList.kext/Contents/Info.plist /dev/diskX

fsck_cs /dev/diskX 1>&-

touch /Library/Extensions/

Reboot

출처 : 

http://securityaffairs.co/wordpress/45831/hacking/bypass-apple-system-integrity-protection.html