macOS Sekuriteit & Privilege Escalering

Reading time: 5 minutes

Basiese MacOS

As jy nie bekend is met macOS nie, moet jy begin om die basiese beginsels van macOS te leer:

• Spesiale macOS lêers & toestemmings:

macOS Files, Folders, Binaries & Memory

• Algemene macOS gebruikers

macOS Users & External Accounts

• AppleFS

macOS AppleFS

• Die argitektuur van die kernel

macOS Kernel & System Extensions

• Algemene macOS netwerk dienste & protokolle

macOS Network Services & Protocols

• Opensource macOS: https://opensource.apple.com/
• Om 'n tar.gz af te laai, verander 'n URL soos https://opensource.apple.com/source/dyld/ na https://opensource.apple.com/tarballs/dyld/dyld-852.2.tar.gz

MacOS MDM

In maatskappye gaan macOS stelsels hoogs waarskynlik met 'n MDM bestuur word. Daarom is dit vanuit 'n aanvaller se perspektief interessant om te weet hoe dit werk:

macOS MDM

MacOS - Inspekteer, Debugeer en Fuzz

macOS Apps - Inspecting, debugging and Fuzzing

MacOS Sekuriteit Beskermings

macOS Security Protections

Aanvaloppervlak

Lêertoestemmings

As 'n proses wat as root loop 'n lêer skryf wat deur 'n gebruiker beheer kan word, kan die gebruiker dit misbruik om privileges te verhoog.
Dit kan in die volgende situasies gebeur:

• Lêer wat gebruik is, is reeds deur 'n gebruiker geskep (besit deur die gebruiker)
• Lêer wat gebruik word, is skryfbaar deur die gebruiker weens 'n groep
• Lêer wat gebruik word, is binne 'n gids wat deur die gebruiker besit word (die gebruiker kan die lêer skep)
• Lêer wat gebruik word, is binne 'n gids wat deur root besit word, maar die gebruiker het skryftoegang daaroor weens 'n groep (die gebruiker kan die lêer skep)

In staat wees om 'n lêer te skep wat gaan gebruik word deur root, laat 'n gebruiker toe om voordeel te trek uit sy inhoud of selfs simboliese skakels/hardlinks te skep om dit na 'n ander plek te wys.

Vir hierdie tipe kwesbaarhede, moenie vergeet om kwesbare .pkg installers te kontroleer:

macOS Installers Abuse

Lêeruitbreiding & URL skema app handlers

Vreemde apps wat deur lêeruitbreidings geregistreer is, kan misbruik word en verskillende toepassings kan geregistreer word om spesifieke protokolle te open

macOS File Extension & URL scheme app handlers

macOS TCC / SIP Privilege Escalering

In macOS toepassings en lêers kan toestemmings hê om toegang te verkry tot gidsen of instellings wat hulle meer bevoorreg maak as ander.

Daarom sal 'n aanvaller wat 'n macOS masjien suksesvol wil kompromitteer, moet sy TCC privileges verhoog (of selfs SIP omseil, afhangende van sy behoeftes).

Hierdie privileges word gewoonlik in die vorm van regte wat die toepassing onderteken is, gegee, of die toepassing mag sekere toegang versoek het en nadat die gebruiker dit goedgekeur het, kan dit in die TCC databasisse gevind word. 'n Ander manier waarop 'n proses hierdie privileges kan verkry, is deur 'n kind van 'n proses met daardie privileges te wees, aangesien dit gewoonlik geërf word.

Volg hierdie skakels om verskillende maniere te vind om privileges in TCC te verhoog, om TCC te omseil en hoe in die verlede SIP omseil is.

macOS Tradisionele Privilege Escalering

Natuurlik moet jy ook belangstel om na root te verhoog vanuit 'n rooi span se perspektief. Kyk na die volgende pos vir 'n paar wenke:

macOS Privilege Escalation

macOS Nakoming

• https://github.com/usnistgov/macos_security

Verwysings

• OS X Incident Response: Scripting and Analysis
• https://taomm.org/vol1/analysis.html
• https://github.com/NicolasGrimonpont/Cheatsheet
• https://assets.sentinelone.com/c/sentinal-one-mac-os-?x=FvGtLJ
• https://www.youtube.com/watch?v=vMGiplQtjTY