상세 컨텐츠

본문 제목

새로운 'Shrootless' 버그, macOS 시스템에 루트킷을 설치하도록 허용해

국내외 보안동향

by 알약4 2021. 11. 1. 09:00

본문

New 'Shrootless' Bug Could Let Attackers Install Rootkit on macOS Systems

 

마이크로소프트가 지난 목요일 공격자가 macOS의 보안 제한을 우회하고 기기를 완전히 제어해 기존의 보안 솔루션에 탐지되지 않은 채 기기에서 임의 작업을 실행할 수 있는 새로운 취약점을 발견해 세부 정보를 공개했습니다.

 

 

<이미지 출처 : https://www.microsoft.com/security/blog/2021/10/28/microsoft-finds-new-macos-vulnerability-shrootless-that-could-bypass-system-integrity-protection/>

 

  

이 취약점은 "Shrootless"라 명명되었으며 CVE-2021-30892로 등록되었습니다. Microsoft 365 Defender Research Team Jonathan Bar Or는 기술 문서에서 다음과 같이 설명했습니다.

 

"이 취약점은 post-install 스크립트가 포함된 Apple 서명 패키지가 설치되는 방식에 존재합니다."

 

"공격자는 설치 프로세스를 하이잭할 수 있는 특수 제작된 파일을 만드는 것이 가능합니다."

 

"rootless"라고도 알려진 시스템 무결성 보호(SIP)OS X El Capitan에 도입된 보안 기능으로 루트 사용자가 무단으로 코드를 실행하거나 시스템의 무결성을 손상시킬 수 있는 작업을 수행하지 못하도록 제한해 macOS를 보호하도록 설계되었습니다.

 

특히 SIPApple 소프트웨어 업데이트 및 Apple 설치 프로그램과 같이 Apple에서 서명한 프로세스나 시스템 파일에 쓸 수 있는 특별한 권한을 가진 프로세스만 시스템의 보호된 부분(/System, /usr, /bin, /sbin, /var )을 수정할 수 있도록 합니다. 또한 Mac App Store에서 다운로드한 앱을 자동으로 인증합니다.

 

 

<이미지 출처 : https://www.microsoft.com/security/blog/2021/10/28/microsoft-finds-new-macos-vulnerability-shrootless-that-could-bypass-system-integrity-protection/>

 

 

마이크로소프트는 보안 기술에 대한 조사를 진행하던 중 SIP 보호를 우회할 수 있는 macOS 프로세스를 조사했으며, 모든 하위 프로세스가 SIP 파일 시스템 제한을 완전히 우회할 수 있도록 허용하는 "system_installd"라는 소프트웨어 설치 데몬을 발견할 수 있었습니다.

 

따라서 Apple에서 서명한 패키지가 설치될 때 system_installd 데몬을 호출하고, 이 데몬은 macOS Z (zsh)인 기본 셸을 호출하여 해당 패키지에 포함된 post-install 스크립트를 실행합니다.

 

Bar Or는 관련하여 아래와 같이 밝혔습니다.

 

"흥미로운 점은, zsh가 시작되면 /etc/zshenv 파일을 찾고 발견할 경우 해당 파일에서 명령을 자동으로 실행한다는 것입니다. 심지어 비대화형 모드에서도 마찬가지입니다."

 

"따라서 공격자가 기기에서 임의 작업을 수행하기 위해 사용할 수 있는 안정적인 방법은 악성 /etc/zshenv 파일을 만든 다음 system_installd zsh를 호출할 때까지 기다리는 것입니다."

 

CVE-2021-30892를 성공적으로 악용할 경우 악성 애플리케이션이 파일의 보호된 부분을 수정해 악성 커널 드라이버(일명 루트킷)를 설치하거나, 시스템 파일을 덮어쓰거나, 지속적이고 탐지가 불가능한 악성코드를 설치하는 기능 등을 실행할 수 있습니다.

 

Apple 2021 10 26일에 푸시된 보안 업데이트의 일부로 추가적인 제한을 통해 해당 문제를 해결했다고 밝혔습니다.

 

"macOS 기기의 SIP와 같은 보안 기술은 기본 제공되는 기본 보호 기능과 악성코드 및 기타 사이버 보안 위협에 대한 마지막 방어선 역할을 합니다."

 

"하지만 불행히도, 악의적인 공격자는 동일한 이유로 이러한 장벽을 깨는 혁신적인 방법을 계속해서 모색하고 있습니다.”

 

 

 

 

출처:

https://thehackernews.com/2021/10/new-shrootless-bug-could-let-attackers.html

https://www.microsoft.com/security/blog/2021/10/28/microsoft-finds-new-macos-vulnerability-shrootless-that-could-bypass-system-integrity-protection/

관련글 더보기

댓글 영역