macOS SIP
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
सिस्टम इंटीग्रिटी प्रोटेक्शन (SIP) macOS में एक तंत्र है जो सबसे विशेषाधिकार प्राप्त उपयोगकर्ताओं को भी प्रमुख सिस्टम फ़ोल्डरों में अनधिकृत परिवर्तनों से रोकने के लिए डिज़ाइन किया गया है। यह सुविधा सिस्टम की अखंडता बनाए रखने में महत्वपूर्ण भूमिका निभाती है, जैसे कि संरक्षित क्षेत्रों में फ़ाइलों को जोड़ना, संशोधित करना या हटाना। SIP द्वारा संरक्षित प्रमुख फ़ोल्डर में शामिल हैं:
/System
/bin
/sbin
/usr
SIP के व्यवहार को नियंत्रित करने वाले नियम /System/Library/Sandbox/rootless.conf
में स्थित कॉन्फ़िगरेशन फ़ाइल में परिभाषित हैं। इस फ़ाइल में, उन पथों को जो एक तारांकित (*) के साथ प्रारंभ होते हैं, अन्यथा कठोर SIP प्रतिबंधों के अपवाद के रूप में दर्शाया गया है।
नीचे दिए गए उदाहरण पर विचार करें:
यह स्निपेट यह संकेत करता है कि जबकि SIP सामान्यतः /usr
निर्देशिका को सुरक्षित करता है, कुछ विशिष्ट उपनिर्देशिकाएँ (/usr/libexec/cups
, /usr/local
, और /usr/share/man
) हैं जहाँ संशोधन की अनुमति है, जैसा कि उनके पथों के पहले अsterisk (*) द्वारा संकेतित है।
यह सत्यापित करने के लिए कि क्या कोई निर्देशिका या फ़ाइल SIP द्वारा सुरक्षित है, आप ls -lOd
कमांड का उपयोग कर सकते हैं ताकि restricted
या sunlnk
ध्वज की उपस्थिति की जांच की जा सके। उदाहरण के लिए:
इस मामले में, sunlnk
ध्वज यह दर्शाता है कि /usr/libexec/cups
निर्देशिका स्वयं हटाई नहीं जा सकती, हालांकि इसके भीतर फ़ाइलें बनाई, संशोधित या हटाई जा सकती हैं।
दूसरी ओर:
यहाँ, restricted
ध्वज इंगित करता है कि /usr/libexec
निर्देशिका SIP द्वारा संरक्षित है। एक SIP-संरक्षित निर्देशिका में, फ़ाइलें बनाई, संशोधित या हटाई नहीं जा सकतीं।
इसके अलावा, यदि एक फ़ाइल में com.apple.rootless
विस्तारित attribute है, तो वह फ़ाइल भी SIP द्वारा संरक्षित होगी।
ध्यान दें कि Sandbox हुक hook_vnode_check_setextattr
विस्तारित attribute com.apple.rootless
को संशोधित करने के किसी भी प्रयास को रोकता है।
SIP अन्य रूट क्रियाओं को भी सीमित करता है जैसे:
अविश्वसनीय कर्नेल एक्सटेंशन लोड करना
Apple-हस्ताक्षरित प्रक्रियाओं के लिए कार्य-ports प्राप्त करना
NVRAM चर को संशोधित करना
कर्नेल डिबगिंग की अनुमति देना
विकल्प nvram चर में एक बिटफ्लैग के रूप में बनाए रखे जाते हैं (csr-active-config
Intel पर और lp-sip0
ARM के लिए बूट किए गए डिवाइस ट्री से पढ़ा जाता है)। आप XNU स्रोत कोड में csr.sh
में ध्वज पा सकते हैं:
आप निम्नलिखित कमांड के साथ जांच सकते हैं कि क्या SIP आपके सिस्टम पर सक्षम है:
यदि आपको SIP को अक्षम करने की आवश्यकता है, तो आपको अपने कंप्यूटर को रिकवरी मोड में पुनः प्रारंभ करना होगा (स्टार्टअप के दौरान Command+R दबाकर), फिर निम्नलिखित कमांड निष्पादित करें:
यदि आप SIP को सक्षम रखना चाहते हैं लेकिन डिबगिंग सुरक्षा को हटाना चाहते हैं, तो आप ऐसा कर सकते हैं:
अनसाइन किए गए कर्नेल एक्सटेंशनों (kexts) को लोड करने की अनुमति नहीं देता, यह सुनिश्चित करता है कि केवल सत्यापित एक्सटेंशन सिस्टम कर्नेल के साथ इंटरैक्ट करें।
macOS सिस्टम प्रक्रियाओं का डिबगिंग रोकता है, अनधिकृत पहुंच और संशोधन से कोर सिस्टम घटकों की सुरक्षा करता है।
dtrace जैसे उपकरणों को सिस्टम प्रक्रियाओं का निरीक्षण करने से रोकता है, सिस्टम के संचालन की अखंडता की और सुरक्षा करता है।
इस वार्ता में SIP जानकारी के बारे में अधिक जानें.
com.apple.rootless.xpc.bootstrap
: launchd को नियंत्रित करें
com.apple.rootless.install[.heritable]
: फ़ाइल प्रणाली तक पहुंच
com.apple.rootless.kext-management
: kext_request
com.apple.rootless.datavault.controller
: UF_DATAVAULT प्रबंधित करें
com.apple.rootless.xpc.bootstrap
: XPC सेटअप क्षमताएँ
com.apple.rootless.xpc.effective-root
: launchd XPC के माध्यम से रूट
com.apple.rootless.restricted-block-devices
: कच्चे ब्लॉक उपकरणों तक पहुंच
com.apple.rootless.internal.installer-equivalent
: बिना किसी प्रतिबंध के फ़ाइल प्रणाली तक पहुंच
com.apple.rootless.restricted-nvram-variables[.heritable]
: NVRAM तक पूर्ण पहुंच
com.apple.rootless.storage.label
: com.apple.rootless xattr द्वारा प्रतिबंधित फ़ाइलों को संबंधित लेबल के साथ संशोधित करें
com.apple.rootless.volume.VM.label
: वॉल्यूम पर VM स्वैप बनाए रखें
SIP को बायपास करना एक हमलावर को सक्षम बनाता है:
उपयोगकर्ता डेटा तक पहुंच: सभी उपयोगकर्ता खातों से संवेदनशील उपयोगकर्ता डेटा जैसे मेल, संदेश, और सफारी इतिहास पढ़ें।
TCC बायपास: TCC (Transparency, Consent, and Control) डेटाबेस को सीधे संशोधित करें ताकि वेबकैम, माइक्रोफोन, और अन्य संसाधनों तक अनधिकृत पहुंच प्रदान की जा सके।
स्थायीता स्थापित करें: SIP-सुरक्षित स्थानों में मैलवेयर रखें, जिससे इसे हटाने के लिए प्रतिरोधी बनाया जा सके, यहां तक कि रूट विशेषाधिकारों द्वारा भी। इसमें मैलवेयर हटाने के उपकरण (MRT) के साथ छेड़छाड़ करने की संभावना भी शामिल है।
कर्नेल एक्सटेंशनों को लोड करें: हालांकि अतिरिक्त सुरक्षा उपाय हैं, SIP को बायपास करना अनसाइन किए गए कर्नेल एक्सटेंशनों को लोड करने की प्रक्रिया को सरल बनाता है।
एप्पल के प्रमाणपत्र के साथ साइन किए गए इंस्टॉलर पैकेज इसकी सुरक्षा को बायपास कर सकते हैं। इसका मतलब है कि यदि वे SIP-सुरक्षित निर्देशिकाओं को संशोधित करने का प्रयास करते हैं तो मानक डेवलपर्स द्वारा साइन किए गए पैकेज भी अवरुद्ध हो जाएंगे।
एक संभावित छिद्र यह है कि यदि एक फ़ाइल rootless.conf
में निर्दिष्ट है लेकिन वर्तमान में मौजूद नहीं है, तो इसे बनाया जा सकता है। मैलवेयर इसका लाभ उठाकर सिस्टम पर स्थायीता स्थापित कर सकता है। उदाहरण के लिए, एक दुर्भावनापूर्ण प्रोग्राम /System/Library/LaunchDaemons
में एक .plist फ़ाइल बना सकता है यदि यह rootless.conf
में सूचीबद्ध है लेकिन मौजूद नहीं है।
अधिकार com.apple.rootless.install.heritable
SIP को बायपास करने की अनुमति देता है
यह पाया गया कि सिस्टम द्वारा इसके कोड हस्ताक्षर की पुष्टि करने के बाद इंस्टॉलर पैकेज को स्वैप करना संभव था और फिर, सिस्टम मूल के बजाय दुर्भावनापूर्ण पैकेज स्थापित करेगा। चूंकि ये क्रियाएँ system_installd
द्वारा की गई थीं, यह SIP को बायपास करने की अनुमति देगा।
यदि एक पैकेज एक माउंटेड इमेज या बाहरी ड्राइव से स्थापित किया गया था तो इंस्टॉलर उस फ़ाइल प्रणाली से बाइनरी को निष्पादित करेगा (SIP-सुरक्षित स्थान से नहीं), जिससे system_installd
एक मनमाना बाइनरी निष्पादित करेगा।
इस ब्लॉग पोस्ट के शोधकर्ताओं ने macOS के सिस्टम इंटीग्रिटी प्रोटेक्शन (SIP) तंत्र में एक भेद्यता का पता लगाया, जिसे 'Shrootless' भेद्यता कहा गया। यह भेद्यता system_installd
डेमन के चारों ओर केंद्रित है, जिसमें एक अधिकार है, com.apple.rootless.install.heritable
, जो इसके किसी भी चाइल्ड प्रोसेस को SIP की फ़ाइल प्रणाली प्रतिबंधों को बायपास करने की अनुमति देता है।
system_installd
डेमन उन पैकेजों को स्थापित करेगा जो Apple द्वारा साइन किए गए हैं।
शोधकर्ताओं ने पाया कि Apple-साइन किए गए पैकेज (.pkg फ़ाइल) की स्थापना के दौरान, system_installd
पैकेज में शामिल किसी भी पोस्ट-इंस्टॉल स्क्रिप्ट को चलाता है। ये स्क्रिप्ट डिफ़ॉल्ट शेल, zsh
द्वारा निष्पादित की जाती हैं, जो स्वचालित रूप से /etc/zshenv
फ़ाइल से कमांड चलाती है, यदि यह मौजूद है, यहां तक कि गैर-इंटरएक्टिव मोड में भी। इस व्यवहार का उपयोग हमलावरों द्वारा किया जा सकता है: एक दुर्भावनापूर्ण /etc/zshenv
फ़ाइल बनाकर और system_installd
को zsh
को सक्रिय करने की प्रतीक्षा करके, वे डिवाइस पर मनमाने ऑपरेशन कर सकते हैं।
इसके अलावा, यह पाया गया कि /etc/zshenv
को एक सामान्य हमले की तकनीक के रूप में उपयोग किया जा सकता है, न कि केवल SIP बायपास के लिए। प्रत्येक उपयोगकर्ता प्रोफ़ाइल में एक ~/.zshenv
फ़ाइल होती है, जो /etc/zshenv
की तरह व्यवहार करती है लेकिन रूट अनुमतियों की आवश्यकता नहीं होती। इस फ़ाइल का उपयोग एक स्थायीता तंत्र के रूप में किया जा सकता है, जो हर बार zsh
शुरू होने पर ट्रिगर होता है, या विशेषाधिकार बढ़ाने के तंत्र के रूप में। यदि एक व्यवस्थापक उपयोगकर्ता sudo -s
या sudo <command>
का उपयोग करके रूट में बढ़ता है, तो ~/.zshenv
फ़ाइल को ट्रिगर किया जाएगा, प्रभावी रूप से रूट में बढ़ाते हुए।
CVE-2022-22583 में यह पाया गया कि वही system_installd
प्रक्रिया अभी भी दुरुपयोग की जा सकती है क्योंकि यह /tmp
के अंदर SIP द्वारा संरक्षित एक यादृच्छिक नामित फ़ोल्डर के अंदर पोस्ट-इंस्टॉल स्क्रिप्ट डाल रही थी। बात यह है कि /tmp
स्वयं SIP द्वारा संरक्षित नहीं है, इसलिए इसे माउंट करना संभव था, फिर इंस्टॉलर वहां पोस्ट-इंस्टॉल स्क्रिप्ट डालता, वर्चुअल इमेज को अनमाउंट करता, सभी फोल्डरों को पुनः बनाता और पेलोड के साथ पोस्ट इंस्टॉलेशन स्क्रिप्ट को निष्पादित करने के लिए जोड़ता।
एक भेद्यता की पहचान की गई जहां fsck_cs
को एक महत्वपूर्ण फ़ाइल को भ्रष्ट करने के लिए गुमराह किया गया, इसकी सांकेतिक लिंक का पालन करने की क्षमता के कारण। विशेष रूप से, हमलावरों ने /dev/diskX
से फ़ाइल /System/Library/Extensions/AppleKextExcludeList.kext/Contents/Info.plist
के लिए एक लिंक तैयार किया। /dev/diskX
पर fsck_cs
को निष्पादित करने से Info.plist
का भ्रष्टाचार हुआ। इस फ़ाइल की अखंडता ऑपरेटिंग सिस्टम के SIP (सिस्टम इंटीग्रिटी प्रोटेक्शन) के लिए महत्वपूर्ण है, जो कर्नेल एक्सटेंशनों के लोडिंग को नियंत्रित करता है। एक बार भ्रष्ट होने पर, SIP की कर्नेल अपवादों को प्रबंधित करने की क्षमता प्रभावित होती है।
इस भेद्यता का लाभ उठाने के लिए आदेश हैं:
इस कमजोरियों के शोषण के गंभीर परिणाम हैं। Info.plist
फ़ाइल, जो सामान्यतः कर्नेल एक्सटेंशन के लिए अनुमतियों का प्रबंधन करने के लिए जिम्मेदार होती है, अप्रभावी हो जाती है। इसमें कुछ एक्सटेंशनों, जैसे AppleHWAccess.kext
को ब्लैकलिस्ट करने की असमर्थता शामिल है। परिणामस्वरूप, SIP के नियंत्रण तंत्र के खराब होने के कारण, इस एक्सटेंशन को लोड किया जा सकता है, जो सिस्टम की RAM तक अनधिकृत पढ़ने और लिखने की पहुंच प्रदान करता है।
सुरक्षा को बायपास करने के लिए SIP संरक्षित फ़ोल्डरों पर एक नया फ़ाइल सिस्टम माउंट करना संभव था।
सिस्टम को Install macOS Sierra.app
के भीतर एक एम्बेडेड इंस्टॉलर डिस्क इमेज से बूट करने के लिए सेट किया गया है ताकि OS को अपग्रेड किया जा सके, bless
उपयोगिता का उपयोग करते हुए। उपयोग की जाने वाली कमांड इस प्रकार है:
इस प्रक्रिया की सुरक्षा को खतरा हो सकता है यदि एक हमलावर अपग्रेड इमेज (InstallESD.dmg
) को बूट करने से पहले बदलता है। रणनीति में एक डायनामिक लोडर (dyld) को एक दुर्भावनापूर्ण संस्करण (libBaseIA.dylib
) से प्रतिस्थापित करना शामिल है। यह प्रतिस्थापन तब होता है जब इंस्टॉलर शुरू होता है, हमलावर के कोड का निष्पादन होता है।
हमलावर का कोड अपग्रेड प्रक्रिया के दौरान नियंत्रण प्राप्त करता है, इंस्टॉलर पर सिस्टम के विश्वास का लाभ उठाते हुए। हमला InstallESD.dmg
इमेज को मेथड स्विज़लिंग के माध्यम से बदलने के द्वारा आगे बढ़ता है, विशेष रूप से extractBootBits
मेथड को लक्षित करता है। यह डिस्क इमेज के उपयोग से पहले दुर्भावनापूर्ण कोड को इंजेक्ट करने की अनुमति देता है।
इसके अलावा, InstallESD.dmg
के भीतर, एक BaseSystem.dmg
है, जो अपग्रेड कोड की रूट फ़ाइल प्रणाली के रूप में कार्य करता है। इसमें एक डायनामिक लाइब्रेरी को इंजेक्ट करने से दुर्भावनापूर्ण कोड को OS-स्तरीय फ़ाइलों को बदलने में सक्षम प्रक्रिया के भीतर कार्य करने की अनुमति मिलती है, जिससे सिस्टम के समझौते की संभावना काफी बढ़ जाती है।
DEF CON 31 से इस वार्ता में दिखाया गया है कि systemmigrationd
(जो SIP को बायपास कर सकता है) एक bash और एक perl स्क्रिप्ट को निष्पादित करता है, जिसे env वेरिएबल BASH_ENV
और PERL5OPT
के माध्यम से दुरुपयोग किया जा सकता है।
जैसा कि इस ब्लॉग पोस्ट में विस्तृत किया गया है, InstallAssistant.pkg
पैकेज से एक postinstall
स्क्रिप्ट निष्पादित हो रही थी:
and यह संभव था कि ${SHARED_SUPPORT_PATH}/SharedSupport.dmg
में एक symlink बनाया जाए जो एक उपयोगकर्ता को किसी भी फ़ाइल को अनरिस्ट्रिक्ट करने की अनुमति देगा, SIP सुरक्षा को बायपास करते हुए।
अधिकार com.apple.rootless.install
SIP को बायपास करने की अनुमति देता है
अधिकार com.apple.rootless.install
macOS पर सिस्टम इंटीग्रिटी प्रोटेक्शन (SIP) को बायपास करने के लिए जाना जाता है। यह विशेष रूप से CVE-2022-26712 के संदर्भ में उल्लेखित किया गया था।
इस विशेष मामले में, /System/Library/PrivateFrameworks/ShoveService.framework/Versions/A/XPCServices/SystemShoveService.xpc
पर स्थित सिस्टम XPC सेवा के पास यह अधिकार है। यह संबंधित प्रक्रिया को SIP प्रतिबंधों को दरकिनार करने की अनुमति देता है। इसके अलावा, यह सेवा विशेष रूप से एक विधि प्रस्तुत करती है जो बिना किसी सुरक्षा उपायों को लागू किए फ़ाइलों को स्थानांतरित करने की अनुमति देती है।
सील किए गए सिस्टम स्नैपशॉट एक विशेषता है जिसे Apple ने macOS Big Sur (macOS 11) में सिस्टम इंटीग्रिटी प्रोटेक्शन (SIP) तंत्र के हिस्से के रूप में सुरक्षा और सिस्टम स्थिरता की एक अतिरिक्त परत प्रदान करने के लिए पेश किया है। ये मूल रूप से सिस्टम वॉल्यूम के केवल पढ़ने योग्य संस्करण हैं।
यहाँ एक अधिक विस्तृत नज़र है:
अपरिवर्तनीय सिस्टम: सील किए गए सिस्टम स्नैपशॉट macOS सिस्टम वॉल्यूम को "अपरिवर्तनीय" बनाते हैं, जिसका अर्थ है कि इसे संशोधित नहीं किया जा सकता। यह सुरक्षा या सिस्टम स्थिरता को खतरे में डालने वाले किसी भी अनधिकृत या आकस्मिक परिवर्तनों को रोकता है।
सिस्टम सॉफ़्टवेयर अपडेट: जब आप macOS अपडेट या अपग्रेड स्थापित करते हैं, तो macOS एक नया सिस्टम स्नैपशॉट बनाता है। फिर macOS स्टार्टअप वॉल्यूम इस नए स्नैपशॉट पर स्विच करने के लिए APFS (Apple File System) का उपयोग करता है। अपडेट लागू करने की पूरी प्रक्रिया अधिक सुरक्षित और विश्वसनीय हो जाती है क्योंकि यदि अपडेट के दौरान कुछ गलत होता है, तो सिस्टम हमेशा पिछले स्नैपशॉट पर वापस लौट सकता है।
डेटा पृथक्करण: macOS कैटालिना में पेश किए गए डेटा और सिस्टम वॉल्यूम पृथक्करण के सिद्धांत के साथ, सील किए गए सिस्टम स्नैपशॉट सुविधा सुनिश्चित करती है कि आपके सभी डेटा और सेटिंग्स एक अलग "डेटा" वॉल्यूम पर संग्रहीत हैं। यह पृथक्करण आपके डेटा को सिस्टम से स्वतंत्र बनाता है, जो सिस्टम अपडेट की प्रक्रिया को सरल बनाता है और सिस्टम सुरक्षा को बढ़ाता है।
याद रखें कि ये स्नैपशॉट macOS द्वारा स्वचालित रूप से प्रबंधित होते हैं और आपके डिस्क पर अतिरिक्त स्थान नहीं लेते हैं, APFS की स्थान साझा करने की क्षमताओं के लिए धन्यवाद। यह भी महत्वपूर्ण है कि ये स्नैपशॉट टाइम मशीन स्नैपशॉट से भिन्न हैं, जो पूरे सिस्टम के उपयोगकर्ता-सुलभ बैकअप होते हैं।
कमांड diskutil apfs list
APFS वॉल्यूम के विवरण और उनके लेआउट को सूचीबद्ध करता है:
पिछले आउटपुट में यह देखना संभव है कि उपयोगकर्ता-सुलभ स्थान /System/Volumes/Data
के तहत माउंट किए गए हैं।
इसके अलावा, macOS सिस्टम वॉल्यूम स्नैपशॉट /
में माउंट किया गया है और यह सील है (OS द्वारा क्रिप्टोग्राफिक रूप से हस्ताक्षरित)। इसलिए, यदि SIP को बायपास किया जाता है और इसे संशोधित किया जाता है, तो OS अब बूट नहीं होगा।
यह भी संभव है कि सत्यापित करें कि सील सक्षम है चलाकर:
इसके अलावा, स्नैपशॉट डिस्क को भी पढ़ने के लिए केवल के रूप में माउंट किया गया है:
सीखें और AWS हैकिंग का अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE) सीखें और GCP हैकिंग का अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)