Microsoft идентифицировала новую уязвимость macOS. Её назвали Migraine, и она действительно может добавить головной боли пользователям — но только тем, которые избегают обновлений системы.
Согласно опубликованному 30 мая отчёту, Migraine позволяет злоумышленникам с root-правами возможность обходить защиту System Integrity Protection (SIP) и выполнять произвольные действия на устройстве — в том числе устанавливать вредоносное ПО и получать личные данные с компьютера.
SIP — это технология защиты, ограничивающая действия пользователей с root-привилегиями. Она запрещает действия, способные привести к нарушению целостности системы. Для этого подозрительный процесс переводят в песочницу, которая закрывает возможность перезапись файлов и директорий.
На работающей системе обход SIP обычно невозможен: для него требуется перезапуск компьютера с переходом в режим восстановления системы. Однако эксперты из Microsoft обнаружили уязвимость во встроенной утилите «Ассистент миграции», от которой и пошло название Migraine.
Взаимодействие с «Ассистентом миграции» требует прямого доступа к компьютеру, но исследователям удалось вмешаться в работу функции и удалённо запустить миграцию без выхода из аккаунта (без чего утилита обычно не работает). Далее настроили восстановление резервной копии из Time Machine — в которой подготовлена вредоносная полезная нагрузка с возможностью обхода SIP. Так вирус попадает на компьютер без возможности удаления или обнаружения, причём процесс доставки удалось автоматизировать через AppleScript.
Microsoft сообщила Apple о находке заранее, и в обновлениях от 18 мая macOS Ventura 13.4, macOS Monterey 12.6.6,и macOS Big Sur 11.7.7 эту уязвимость уже закрыли. Чтобы защитить себя, достаточно убедиться, что используете актуальную версию системы.