Microsoft ідентифікувала нову вразливість macOS. Її назвали Migraine, і вона дійсно може додати головний біль користувачам, але тільки тим, які уникають оновлень системи.
Згідно з опублікованим звітом 30 травня, Migraine дозволяє зловмисникам з root-правами можливість обходити захист System Integrity Protection (SIP) і виконувати довільні дії на пристрої – у тому числі встановлювати шкідливе ПЗ і отримувати особисті дані з комп’ютера.
SIP – це технологія захисту, що обмежує дії користувачів із root-привілеями. Вона забороняє дії, які можуть призвести до порушення цілісності системи. Для цього підозрілий процес переводять у пісочницю, яка закриває можливість перезапису файлів та директорій.
На працюючій системі обхід SIP зазвичай неможливий: йому потрібно перезапуск комп’ютера з переходом у режим відновлення системи. Однак експерти з Microsoft виявили вразливість у вбудованій утиліті «Асистент міграції», від якої і походить назва Migraine.
Взаємодія з «Асистентом міграції» вимагає прямого доступу до комп’ютера, але дослідникам вдалося втрутитися в роботу функції та віддалено запустити міграцію без виходу з облікового запису (без чого утиліта зазвичай не працює). Далі налаштували відновлення резервної копії з Time Machine – в якій підготовлено шкідливе корисне навантаження з можливістю обходу SIP. Так вірус потрапляє на комп’ютер без можливості видалення чи виявлення, причому процес доставки вдалося автоматизувати через AppleScript.
Microsoft повідомила Apple про знахідку заздалегідь, і в оновленні від 18 травня macOS Ventura 13.4, macOS Monterey 12.6.6, і macOS Big Sur 11.7.7 цю вразливість вже закрили. Щоб захистити себе, достатньо переконатися, що ви використовуєте актуальну версію системи.