macOS System Extensions
Last updated
Last updated
Contrairement aux Extensions Noyau, les Extensions Système s'exécutent dans l'espace utilisateur au lieu de l'espace noyau, réduisant ainsi le risque de plantage du système en cas de dysfonctionnement de l'extension.
Il existe trois types d'extensions système : les Extensions DriverKit, les Extensions Réseau et les Extensions Sécurité des Points d'Extrémité.
DriverKit est un remplacement des extensions noyau qui fournissent un support matériel. Il permet aux pilotes de périphériques (comme les pilotes USB, série, NIC et HID) de s'exécuter dans l'espace utilisateur plutôt que dans l'espace noyau. Le framework DriverKit inclut des versions en espace utilisateur de certaines classes I/O Kit, et le noyau transfère les événements normaux de l'I/O Kit vers l'espace utilisateur, offrant ainsi un environnement plus sûr pour l'exécution de ces pilotes.
Les Extensions Réseau offrent la possibilité de personnaliser les comportements réseau. Il existe plusieurs types d'Extensions Réseau :
Proxy d'Application : Cela est utilisé pour créer un client VPN qui implémente un protocole VPN personnalisé orienté flux. Cela signifie qu'il gère le trafic réseau en fonction des connexions (ou flux) plutôt que des paquets individuels.
Tunnel de Paquets : Cela est utilisé pour créer un client VPN qui implémente un protocole VPN personnalisé orienté paquets. Cela signifie qu'il gère le trafic réseau en fonction des paquets individuels.
Filtrer les Données : Cela est utilisé pour filtrer les "flux" réseau. Il peut surveiller ou modifier les données réseau au niveau du flux.
Filtrer les Paquets : Cela est utilisé pour filtrer les paquets réseau individuels. Il peut surveiller ou modifier les données réseau au niveau du paquet.
Proxy DNS : Cela est utilisé pour créer un fournisseur DNS personnalisé. Il peut être utilisé pour surveiller ou modifier les requêtes et réponses DNS.
La Sécurité des Points d'Extrémité est un cadre fourni par Apple dans macOS qui fournit un ensemble d'API pour la sécurité du système. Il est destiné à être utilisé par les fournisseurs de sécurité et les développeurs pour construire des produits qui peuvent surveiller et contrôler l'activité du système afin d'identifier et de se protéger contre les activités malveillantes.
Ce cadre fournit une collection d'API pour surveiller et contrôler l'activité du système, telle que l'exécution des processus, les événements du système de fichiers, les événements réseau et noyau.
Le cœur de ce cadre est implémenté dans le noyau, en tant qu'Extension Noyau (KEXT) située à /System/Library/Extensions/EndpointSecurity.kext
. Ce KEXT est composé de plusieurs composants clés :
EndpointSecurityDriver : Cela agit comme le "point d'entrée" de l'extension noyau. C'est le principal point d'interaction entre le système d'exploitation et le cadre de Sécurité des Points d'Extrémité.
EndpointSecurityEventManager : Ce composant est responsable de la mise en œuvre des accroches noyau. Les accroches noyau permettent au cadre de surveiller les événements système en interceptant les appels système.
EndpointSecurityClientManager : Cela gère la communication avec les clients en espace utilisateur, en suivant les clients connectés et nécessitant de recevoir des notifications d'événements.
EndpointSecurityMessageManager : Cela envoie des messages et des notifications d'événements aux clients en espace utilisateur.
Les événements que le cadre de Sécurité des Points d'Extrémité peut surveiller sont catégorisés en :
Événements de fichiers
Événements de processus
Événements de socket
Événements noyau (comme le chargement/déchargement d'une extension noyau ou l'ouverture d'un périphérique I/O Kit)
La communication en espace utilisateur avec le cadre de Sécurité des Points d'Extrémité se fait à travers la classe IOUserClient. Deux sous-classes différentes sont utilisées, en fonction du type d'appelant :
EndpointSecurityDriverClient : Cela nécessite l'attribution com.apple.private.endpoint-security.manager
, qui est détenue uniquement par le processus système endpointsecurityd
.
EndpointSecurityExternalClient : Cela nécessite l'attribution com.apple.developer.endpoint-security.client
. Cela serait généralement utilisé par des logiciels de sécurité tiers qui doivent interagir avec le cadre de Sécurité des Points d'Extrémité.
Les Extensions de Sécurité des Points d'Extrémité : libEndpointSecurity.dylib
est la bibliothèque C que les extensions système utilisent pour communiquer avec le noyau. Cette bibliothèque utilise l'I/O Kit (IOKit
) pour communiquer avec le KEXT de Sécurité des Points d'Extrémité.
endpointsecurityd
est un démon système clé impliqué dans la gestion et le lancement des extensions système de sécurité des points d'extrémité, en particulier pendant le processus de démarrage initial. Seules les extensions système marquées avec NSEndpointSecurityEarlyBoot
dans leur fichier Info.plist
reçoivent ce traitement de démarrage anticipé.
Un autre démon système, sysextd
, valide les extensions système et les déplace vers les emplacements système appropriés. Il demande ensuite au démon pertinent de charger l'extension. Le SystemExtensions.framework
est responsable de l'activation et de la désactivation des extensions système.
ESF est utilisé par des outils de sécurité qui tenteront de détecter un membre de l'équipe rouge, donc toute information sur la manière dont cela pourrait être évité semble intéressante.
Le fait est que l'application de sécurité doit avoir les autorisations d'Accès complet au disque. Donc, si un attaquant pouvait les supprimer, il pourrait empêcher le logiciel de s'exécuter :
Pour plus d'informations sur ce contournement et les contournements associés, consultez la présentation #OBTS v5.0 : "Le talon d'Achille de la sécurité des points de terminaison" - Fitzl Csaba
À la fin, cela a été corrigé en donnant la nouvelle autorisation kTCCServiceEndpointSecurityClient
à l'application de sécurité gérée par tccd
afin que tccutil
ne supprime pas ses autorisations, l'empêchant ainsi de s'exécuter.