مايكروسوفت تعثر على ثغرة خطرة في نظام macOS من آبل

عالجت شركة آبل حديثًا ثغرة تسمح للمهاجمين الذين لديهم امتيازات الجذر بتجاوز ما يُعرف بـ (حماية تكامل النظام) لتثبيت برامج ضارة «غير قابلة للحذف»، والوصول إلى البيانات الخاصة بالضحية من خلال التحايل على عمليات التحقق الأمنية.

ويجري تتبع الثغرة المسماة Migraine، التي اكتشفها وأبلغ آبل بها فريقٌ من باحثي شركة مايكروسوفت الأمنيين، تحت المُعرِّف CVE-2023-32369.

وأصلحت آبل الثغرة الأمنية في تحديثات الأمان التالية: (ماك أو إس فينتورا 13.4) macOS Ventura 13.4، و(ماك أو إس مونتيري 12.6.6) macOS Monterey 12.6.6، و(ماك أو إس بيج سر 11.7.7) macOS Big Sur 11.7.7، التي أُصدرت قبل أسبوعين في 18 أيار/ مايو الحالي.

وتُعدّ (حماية تكامل النظام)، المعروفة أيضًا باسم «بدون جذر»، آلية أمان لنظام (ماك أو إس) تمنع البرامج الضارة المحتملة من تغيير مجلدات وملفات معينة من خلال فرض قيود على حساب مستخدم الجذر وإمكاناته داخل المناطق المحمية من نظام التشغيل.

وتعمل (حماية تكامل النظام) وفقًا لمبدأ مفاده أنه يُسمح فقط للعمليات المُوقَّعة من آبل أو أولئك الذين يمتلكون استحقاقات خاصة، مثل: تحديثات برامج آبل وأدوات التثبيت، بتغيير المكونات المحمية من (ماك أو إس).

ومن المهم أيضًا ملاحظة أنه لا توجد طريقة لتعطيل (حماية تكامل النظام) دون إعادة تشغيل النظام وإيقاف تشغيل الخاصية المعروفة باسم (استرداد ماك أو إس) أو (نظام الاسترداد المدمج)، وهذا يتطلب وصولًا فعليًا إلى جهاز مُخترق بالفعل.

ومع ذلك، وجد باحثو مايكروسوفت أنه يمكن للمهاجمين الذين لديهم أذونات الجذر تجاوز (حماية تكامل النظام) عن طريق إساءة استخدام الأداة المساعدة macOS Migration Assistant، وهي تطبيق مُضمَّن في (ماك أو إس) يستخدم برنامج systemmigrationd الخفي مع إمكانات تجاوز (حماية تكامل النظام) المستمدة من استحقاق com.apple.rootless.install الخاص به.

وأظهر الباحثون أنه يمكن للمهاجمين الذين لديهم أذونات الجذر أتمتة عملية الترحيل باستخدام AppleScript وإطلاق حمولة ضارة بعد إضافتها إلى قائمة استثناءات (حماية تكامل النظام) دون إعادة تشغيل النظام والتمهيد من خاصية (استرداد ماك أو إس).

وأوضح الباحثون أن تجاوزات (حماية تكامل النظام) التعسفية تأتي مع مخاطر كبيرة، لاسيما عندما يستغلها منشئو البرامج الضارة؛ لأنها تسمح بأن يكون للأكواد الضارة تأثيرات بعيدة المدى، ومن ذلك: إنشاء برامج ضارة تحميها خاصية (حماية تكامل النظام) فلا يمكن إزالتها عبر طرق الحذف القياسية.

كما أنها توسّع مساحة الهجوم بدرجة كبيرة ويمكن أن تسمح للمهاجمين بالتلاعب بسلامة النظام من خلال تنفيذ كود النواة التعسفي، وربما تثبيت أدوات الجذر rootkits لإخفاء العمليات والملفات الضارة من برامج الأمان.

يُذكر أن هذه ليست أول ثغرة في نظام (ماك أو إس) يُبلِغ عنها باحثو مايكروسوفت في السنوات الأخيرة، ذلك أنهم أبلغوا عام 2021 عن ثغرة أخرى في تجاوز (حماية تكامل النظام).

وأصلحت شركة آبل في شهر كانون الأول/ ديسمبر الماضي ثغرة أمنية يمكن للمهاجمين الاستفادة منها لنشر برامج ضارة في حواسيب (ماك أو إس) غير الحصينة، وذلك باستخدام تطبيقات غير موثوقة قادرة على تجاوز القيود الخاصة بميزة الحماية الأمنية Gatekeeper.