상세 컨텐츠

본문 제목

새로운 'Shrootless' 버그, macOS 시스템에 루트킷을 설치하도록 허용해

국내외 보안동향

by 알약4 2021. 11. 1. 09:00

본문

New 'Shrootless' Bug Could Let Attackers Install Rootkit on macOS Systems

 

마이크로소프트가 지난 목요일 공격자가 macOS의 보안 제한을 우회하고 기기를 완전히 제어해 기존의 보안 솔루션에 탐지되지 않은 채 기기에서 임의 작업을 실행할 수 있는 새로운 취약점을 발견해 세부 정보를 공개했습니다.

 

 

<이미지 출처 : https://www.microsoft.com/security/blog/2021/10/28/microsoft-finds-new-macos-vulnerability-shrootless-that-could-bypass-system-integrity-protection/>

 

  

이 취약점은 "Shrootless"라 명명되었으며 CVE-2021-30892로 등록되었습니다. Microsoft 365 Defender Research Team Jonathan Bar Or는 기술 문서에서 다음과 같이 설명했습니다.

 

"이 취약점은 post-install 스크립트가 포함된 Apple 서명 패키지가 설치되는 방식에 존재합니다."

 

"공격자는 설치 프로세스를 하이잭할 수 있는 특수 제작된 파일을 만드는 것이 가능합니다."

 

"rootless"라고도 알려진 시스템 무결성 보호(SIP)OS X El Capitan에 도입된 보안 기능으로 루트 사용자가 무단으로 코드를 실행하거나 시스템의 무결성을 손상시킬 수 있는 작업을 수행하지 못하도록 제한해 macOS를 보호하도록 설계되었습니다.

 

특히 SIPApple 소프트웨어 업데이트 및 Apple 설치 프로그램과 같이 Apple에서 서명한 프로세스나 시스템 파일에 쓸 수 있는 특별한 권한을 가진 프로세스만 시스템의 보호된 부분(/System, /usr, /bin, /sbin, /var )을 수정할 수 있도록 합니다. 또한 Mac App Store에서 다운로드한 앱을 자동으로 인증합니다.

 

 

<이미지 출처 : https://www.microsoft.com/security/blog/2021/10/28/microsoft-finds-new-macos-vulnerability-shrootless-that-could-bypass-system-integrity-protection/>

 

 

마이크로소프트는 보안 기술에 대한 조사를 진행하던 중 SIP 보호를 우회할 수 있는 macOS 프로세스를 조사했으며, 모든 하위 프로세스가 SIP 파일 시스템 제한을 완전히 우회할 수 있도록 허용하는 "system_installd"라는 소프트웨어 설치 데몬을 발견할 수 있었습니다.

 

따라서 Apple에서 서명한 패키지가 설치될 때 system_installd 데몬을 호출하고, 이 데몬은 macOS Z (zsh)인 기본 셸을 호출하여 해당 패키지에 포함된 post-install 스크립트를 실행합니다.

 

Bar Or는 관련하여 아래와 같이 밝혔습니다.

 

"흥미로운 점은, zsh가 시작되면 /etc/zshenv 파일을 찾고 발견할 경우 해당 파일에서 명령을 자동으로 실행한다는 것입니다. 심지어 비대화형 모드에서도 마찬가지입니다."

 

"따라서 공격자가 기기에서 임의 작업을 수행하기 위해 사용할 수 있는 안정적인 방법은 악성 /etc/zshenv 파일을 만든 다음 system_installd zsh를 호출할 때까지 기다리는 것입니다."

 

CVE-2021-30892를 성공적으로 악용할 경우 악성 애플리케이션이 파일의 보호된 부분을 수정해 악성 커널 드라이버(일명 루트킷)를 설치하거나, 시스템 파일을 덮어쓰거나, 지속적이고 탐지가 불가능한 악성코드를 설치하는 기능 등을 실행할 수 있습니다.

 

Apple 2021 10 26일에 푸시된 보안 업데이트의 일부로 추가적인 제한을 통해 해당 문제를 해결했다고 밝혔습니다.

 

"macOS 기기의 SIP와 같은 보안 기술은 기본 제공되는 기본 보호 기능과 악성코드 및 기타 사이버 보안 위협에 대한 마지막 방어선 역할을 합니다."

 

"하지만 불행히도, 악의적인 공격자는 동일한 이유로 이러한 장벽을 깨는 혁신적인 방법을 계속해서 모색하고 있습니다.”

 

 

 

 

출처:

https://thehackernews.com/2021/10/new-shrootless-bug-could-let-attackers.html

https://www.microsoft.com/security/blog/2021/10/28/microsoft-finds-new-macos-vulnerability-shrootless-that-could-bypass-system-integrity-protection/

저작자표시 비영리 변경금지

'국내외 보안동향' 카테고리의 다른 글

11월 1일, <중화인민공화국 개인정보보호법> 정식 시행  (0) 2021.11.01
Linux, FreeBSD를 암호화하는 Hive 랜섬웨어 변종 발견돼  (0) 2021.11.01
루팅 기능이 포함된 새로운 안드로이드 악성코드인 AbstractEmu 발견  (0) 2021.10.29
윈도우의 모든 버전, 새로운 LPE 제로데이에 취약해  (0) 2021.10.29
Atom Silo와 LockFile 랜섬웨어용 무료 복호화 툴 공개돼  (0) 2021.10.28

관련글 더보기

댓글 영역

티스토리툴바