macOS Dangerous Entitlements & TCC perms
Let daarop dat regte wat met com.apple begin nie beskikbaar is vir derde partye nie, slegs Apple kan dit toeken.
Hoog
com.apple.rootless.install.heritable
com.apple.rootless.install.heritableDie reg com.apple.rootless.install.heritable maak dit moontlik om SIP te omseil. Kyk hier vir meer inligting.
com.apple.rootless.install
com.apple.rootless.installDie reg com.apple.rootless.install maak dit moontlik om SIP te omseil. Kyk hier vir meer inligting.
com.apple.system-task-ports (voorheen genoem task_for_pid-allow)
com.apple.system-task-ports (voorheen genoem task_for_pid-allow)Hierdie reg maak dit moontlik om die taakpoort vir enige proses te verkry, behalwe die kernel. Kyk hier vir meer inligting.
com.apple.security.get-task-allow
com.apple.security.get-task-allowHierdie reg maak dit moontlik vir ander prosesse met die com.apple.security.cs.debugger reg om die taakpoort van die proses wat deur die binêre met hierdie reg uitgevoer word te verkry en kode daarop in te spuit. Kyk hier vir meer inligting.
com.apple.security.cs.debugger
com.apple.security.cs.debuggerApps met die Debugging Tool Reg kan task_for_pid() aanroep om 'n geldige taakpoort vir ongetekende en derdeparty-apps met die Get Task Allow reg wat op true gestel is, te verkry. Maar, selfs met die debugging tool reg, kan 'n debugger nie die taakpoorte van prosesse wat nie die Get Task Allow reg het nie, en wat dus deur Stelselintegriteitsbeskerming beskerm word, verkry nie. Kyk hier vir meer inligting.
com.apple.security.cs.disable-library-validation
com.apple.security.cs.disable-library-validationHierdie reg maak dit moontlik om raamwerke, plug-ins, of biblioteke te laai sonder om of deur Apple geteken te wees of met dieselfde Span ID as die hoof uitvoerbare, sodat 'n aanvaller sommige arbitrêre biblioteeklaai kan misbruik om kode in te spuit. Kyk hier vir meer inligting.
com.apple.private.security.clear-library-validation
com.apple.private.security.clear-library-validationHierdie reg is baie soortgelyk aan com.apple.security.cs.disable-library-validation maar in plaas daarvan om direk biblioteekvalidasie te deaktiveer, maak dit dit moontlik vir die proses om 'n csops stelselaanroep te doen om dit te deaktiveer.
Kyk hier vir meer inligting.
com.apple.security.cs.allow-dyld-environment-variables
com.apple.security.cs.allow-dyld-environment-variablesHierdie reg maak dit moontlik om DYLD omgewing veranderlikes te gebruik wat gebruik kan word om biblioteke en kode in te spuit. Kyk hier vir meer inligting.
com.apple.private.tcc.manager of com.apple.rootless.storage.TCC
com.apple.private.tcc.manager of com.apple.rootless.storage.TCCVolgens hierdie blog en hierdie blog, maak hierdie regte dit moontlik om die TCC databasis te wysig.
system.install.apple-software en system.install.apple-software.standar-user
system.install.apple-software en system.install.apple-software.standar-userHierdie regte maak dit moontlik om programmatuur te installeer sonder om toestemming van die gebruiker te vra, wat nuttig kan wees vir 'n privilege escalasie.
com.apple.private.security.kext-management
com.apple.private.security.kext-managementReg wat benodig word om die kernel te vra om 'n kernuitbreiding te laai.
com.apple.private.icloud-account-access
com.apple.private.icloud-account-accessDie reg com.apple.private.icloud-account-access maak dit moontlik om te kommunikeer met die com.apple.iCloudHelper XPC diens wat iCloud tokens sal verskaf.
iMovie en Garageband het hierdie reg gehad.
Vir meer inligting oor die eksploit om icloud tokens van daardie reg te verkry, kyk die praatjie: #OBTS v5.0: "What Happens on your Mac, Stays on Apple's iCloud?!" - Wojciech Regula
com.apple.private.tcc.manager.check-by-audit-token
com.apple.private.tcc.manager.check-by-audit-tokenTODO: Ek weet nie wat dit toelaat om te doen nie
com.apple.private.apfs.revert-to-snapshot
com.apple.private.apfs.revert-to-snapshotTODO: In hierdie verslag word genoem dat dit gebruik kan word om die SSV-beskermde inhoud na 'n herlaai op te dateer. As jy weet hoe, stuur 'n PR asseblief!
com.apple.private.apfs.create-sealed-snapshot
com.apple.private.apfs.create-sealed-snapshotTODO: In hierdie verslag word genoem dat dit gebruik kan word om die SSV-beskermde inhoud na 'n herlaai op te dateer. As jy weet hoe, stuur 'n PR asseblief!
keychain-access-groups
keychain-access-groupsHierdie regte lys keychain groepe waartoe die toepassing toegang het:
kTCCServiceSystemPolicyAllFiles
kTCCServiceSystemPolicyAllFilesGee Volle Skyf Toegang regte, een van die TCC hoogste regte wat jy kan hê.
kTCCServiceAppleEvents
kTCCServiceAppleEventsLaat die app toe om gebeurtenisse na ander toepassings te stuur wat algemeen gebruik word vir outomatisering van take. Deur ander apps te beheer, kan dit die regte wat aan hierdie ander apps toegeken is, misbruik.
Soos om hulle te laat vra vir die gebruiker se wagwoord:
Of om hulle arbitraire aksies te laat uitvoer.
kTCCServiceEndpointSecurityClient
kTCCServiceEndpointSecurityClientLaat, onder andere toestemmings, toe om die gebruikers TCC databasis te skryf.
kTCCServiceSystemPolicySysAdminFiles
kTCCServiceSystemPolicySysAdminFilesLaat toe om die NFSHomeDirectory attribuut van 'n gebruiker te verander wat sy tuisgids pad verander en dus toelaat om TCC te omseil.
kTCCServiceSystemPolicyAppBundles
kTCCServiceSystemPolicyAppBundlesLaat toe om lêers binne toepassingsbundels (binne app.app) te wysig, wat standaard verbode is.
Dit is moontlik om te kyk wie hierdie toegang het in Stelselsinstellings > Privaatheid & Sekuriteit > Toepassingbestuur.
kTCCServiceAccessibility
kTCCServiceAccessibilityDie proses sal in staat wees om die macOS toeganklikheidskenmerke te misbruik, wat beteken dat hy byvoorbeeld in staat sal wees om toetsaanslagen te druk. SO hy kan toegang vra om 'n toepassing soos Finder te beheer en die dialoog met hierdie toestemming goed te keur.
Medium
com.apple.security.cs.allow-jit
com.apple.security.cs.allow-jitHierdie reg laat toe om geheue te skep wat skryfbaar en uitvoerbaar is deur die MAP_JIT vlag aan die mmap() stelselfunksie deur te gee. Kyk hier vir meer inligting.
com.apple.security.cs.allow-unsigned-executable-memory
com.apple.security.cs.allow-unsigned-executable-memoryHierdie reg laat toe om C kode te oorskry of te patch, gebruik die lank-gedepregeerde NSCreateObjectFileImageFromMemory (wat fundamenteel onveilig is), of gebruik die DVDPlayback raamwerk. Kyk hier vir meer inligting.
Die insluiting van hierdie reg stel jou toepassing bloot aan algemene kwesbaarhede in geheue-onveilige kode tale. Oorweeg sorgvuldig of jou toepassing hierdie uitsondering benodig.
com.apple.security.cs.disable-executable-page-protection
com.apple.security.cs.disable-executable-page-protectionHierdie reg laat toe om afdelings van sy eie uitvoerbare lêers op skyf te wysig om gedwonge uitgang te dwing. Kyk hier vir meer inligting.
Die Disable Executable Memory Protection Entitlement is 'n uiterste reg wat 'n fundamentele sekuriteitsbeskerming van jou toepassing verwyder, wat dit moontlik maak vir 'n aanvaller om jou toepassing se uitvoerbare kode sonder opsporing te herskryf. Verkies nouer regte indien moontlik.
com.apple.security.cs.allow-relative-library-loads
com.apple.security.cs.allow-relative-library-loadsTODO
com.apple.private.nullfs_allow
com.apple.private.nullfs_allowHierdie reg laat toe om 'n nullfs lêerstelsel te monteer (verbode deur standaard). Gereedskap: mount_nullfs.
kTCCServiceAll
kTCCServiceAllVolgens hierdie blogpos, is hierdie TCC toestemming gewoonlik in die vorm:
Allow the process to vraag vir al die TCC-toestemmings.
kTCCServicePostEvent
kTCCServicePostEventLast updated
