Lỗ hổng Shrootless có định danh CVE-2021-30892 tồn tại trong phương thức được sử dụng để cài đặt các gói đã được Apple ký bằng các tập lệnh sau khi cài đặt. Kẻ tấn công khai thác lỗ hổng bằng cách tạo một tệp đặc biệt cho phép chiếm quyền điều khiển quá trình cài đặt của các gói.
Cụ thể, SIP cho phép sửa đổi các phần được bảo vệ của hệ thống chẳng hạn như /System, /usr, /bin, /sbin và /var chỉ bằng các quy trình được ký bởi Apple hoặc những quy trình có quyền đặc biệt để ghi vào tệp hệ thống, như các bản cập nhật phần mềm của Apple và trình cài đặt của Apple. Đồng thời, tự động cho phép các ứng dụng được tải xuống từ Mac App Store. Apple cũng cải thiện các giới hạn SIP để tối ưu công nghệ, bao gồm thêm một số quyền cho các quy trình cụ thể của Apple, chẳng hạn như các bản cập nhật hệ thống, có quyền truy cập không hạn chế vào các thư mục được bảo vệ bằng SIP.
Cuộc điều tra của Microsoft đã phát hiện ra một daemon system_installd có quyền cho phép các tiến trình con vượt qua các giới hạn của hệ thống tệp SIP khi một gói do Apple ký đang được cài đặt, daemon system_installd thực thi tập lệnh bằng cách gọi trình shell, zsh mặc định.
Microsoft cho biết: “Khi zsh khởi động, nó sẽ tìm kiếm tệp /etc/zshenv và nếu tìm thấy, sẽ tự động chạy các lệnh từ tệp đó, ngay cả trong chế độ không tương tác. Do đó, để thực hiện các thao tác tùy ý trên thiết bị, những kẻ tấn công có thể tạo một tệp /etc/zshenv độc hại và sau đó đợi system_installd gọi zsh”.
Việc khai thác thành công CVE-2021-30892 cho phép ứng dụng độc hại có thể sửa đổi các phần được bảo vệ của hệ thống tệp, bao gồm khả năng cài đặt trình điều khiển hạt nhân độc hại, ghi đè tệp hệ thống hoặc cài đặt phần mềm độc hại liên tục và không thể bị phát hiện.
Về phía Apple, hãng đã xử lý lỗ hổng trong bản cập nhật phát hành ngày 26/10.