Every authorization has its black: tackling privilege escalation in macOS
長久以來 macOS 系統對於權限擁有著相當嚴密的控管,像是 TCC、SIP 和 Entitlement 等重要的權限管理機制,目的在避免應用程式運行時被濫用的機會。然而隨著 macOS 不斷揭露的提權漏洞代表著這些機制並不能保證絕對的安全,攻擊者一旦拿到了 macOS 上某些特殊權限,便有機會獲得連系統管理者都無法干預的控制權。在實際 IR 的案例中,我們發現一般使用者不易控管程式權限並且過度信賴彈出視窗,導致 macOS 原生防護失去效力。
為了能夠緩解這類型的攻擊手法,我們運用了 Endpoint Security Framework (ESF) 對提升權限的行為進行偵測。ESF 允許第三方軟體撰寫客戶端來獲取部分事件的發生,隨著 macOS 的系統更新,ESF 提供了更多的事件供偵測,並且可採集到相當細膩的行為資訊,足以成為抵擋 macOS 受到攻擊的最後一道防線。在開發上我們發現,隨著新穎性的攻擊出現,關鍵事件的獲取成為了防禦成敗重要因素。因此我們將細節探討每項提權攻擊其背後可以被紀錄下的事件痕跡,提供安全開發人員一套概念來偵測 macOS 上這類型的攻擊。
本議程第一部分將會聚焦在 macOS 的提權漏洞上,並介紹我們今年在實際案例所看到的權限問題,以及歸納相關的攻擊手法。接著探討 ESF 他的能力以及底層實作,說明如何透過 ESF 來做到有效偵測。我們將展示哪些 ESF 事件是值得被使用,以及其對應可偵測到的內容,讓藍隊開發人員對於 ESF 的框架有更深入的了解,並可根據我們所歸納出的結果來開發出更有效的鑑識和行為偵測工具。
黃智威
黃智威目前在 TeamT5 負責資安產品研發,同時也是 10sec 戰隊成員,主要專注於逆向工程、系統安全以及威脅獵捕等領域上。曾任教育部資訊安全人才培育計畫講師,並於 S&P workshop 及 AsiaJCIS 發表過系統安全相關的研究。