[Cảnh báo] CVE-2016-1757 – Lỗ hổng Zero-day, toàn bộ phiên bản Mac OS X bị ảnh hưởng

Lỗ hổng CVE-2016-1757 (zero-day) mới được phát hiện ảnh hưởng đến tất cả các phiên bản hệ điều hành MAC OS X của Apple, cho phép tin tặc vượt qua (bypass) tính năng bảo vệ mới nhất và đánh cắp dữ liệu ngay cả trên phiển bản mới nhất Mac OS X EI Captain.

Cùng với việc cho ra mắt phiên bản hệ điều hành mới Mac OS X EI Capitan, Apple đã giới thiệu một tính năng bảo mật mới có tên System Integrity Protection (SIP). Tính năng được thiết kế nhằm ngăn chặn những phần mềm độc hại có khả năng sửa đổi các tệp tin đã được bảo vệ và các thư mục trên thiết bị Mac.

Mục đích của SIP nhằm thắt chặt tài khoản gốc (root user) trên hệ điều hành OS X và giới hạn quyền của root user có thể can thiệp vào thành phần các quan trọng của hệ thống, nhờ đó giảm thiểu được nguy cơ mã độc tấn công thiết bị hoặc thực hiện tấn công vượt quyền.

Tuy nhiên, chuyên gia bảo mật Pedro Vilaça đến từ công ty SentinelOne đã tìm ra lỗ hổng cho phép tấn công vượt quyền cũng như vượt qua (bypass) SIP mà không cần khai thác kernel. Tất cả các phiên bản ở thời điềm hiện tại của Mac OS đều bị ảnh hưởng. Lỗ hổng (CVE-2016-1757)  là một Non-Memory Corruption bug cho phép tin tặc thực thi mã tùy ý trên bất cứ thiết bị nào, thực thi mã từ xa hoặc thậm chí thoát được sự kiểm tra chặt chẽ từ sandbox.

Với cấu hình mặc định, System Integrity Protection bảo vệ các thư mục /System, /usr, /bin, /sbin, cùng với các ứng dụng được cài đặt sẵn trên hệ điều hành OS X. Chuyên gia Vilaça cho biết lỗ hổng này rất dễ khai thác chỉ bằng một cuộc tấn công lừa đảo hoặc tấn công thông qua trình duyệt để xâm nhập vào thiết bị. Điều đáng lo ngại nhất là quá trình tấn công này rất khó để phát hiện, thậm chí kể cả khi phát hiện được người dùng cũng KHÔNG THỂ loại bỏ được chúng, bởi chính SIP đã bảo vệ mã độc, ngăn chặn người dùng tiếp cận mã độc giả mạo tệp tin hệ thống.

Mặc dù lỗ hổng zero-day này đã được phát hiện vào đầu năm 2015 và được cảnh báo cho Apple, nhưng hiện công ty này vẫn chưa phát hiện được trường hợp khai thác nào trong thực tế. Apple đã phát hành bản vá lỗ hổng trong bản cập nhật El Capitan 10.11.4, và iOS 9.3 vào ngày 21/3. Các phiên bản còn lại không được cập nhật bản vá sẽ phải đối mặt với nguy cơ bị tấn công.

THN

Bình luận

Từ khóa: