macOS Kernel Extensions

Lernen Sie AWS-Hacking von Null auf Held mit htARTE (HackTricks AWS Red Team Expert)!

Arbeiten Sie in einem Cybersicherheitsunternehmen? Möchten Sie Ihr Unternehmen auf HackTricks beworben sehen? Oder möchten Sie Zugang zur neuesten Version von PEASS oder zum Herunterladen von HackTricks im PDF-Format haben? Überprüfen Sie die ABONNEMENTPLÄNE!
Entdecken Sie The PEASS Family, unsere exklusive Sammlung von NFTs
Holen Sie sich das offizielle PEASS- und HackTricks-Merch
Treten Sie dem 💬 Discord-Gruppe bei oder der Telegram-Gruppe bei oder folgen Sie mir auf Twitter 🐦@carlospolopm.
Teilen Sie Ihre Hacking-Tricks, indem Sie PR an hacktricks repo und hacktricks-cloud repo senden.

Grundlegende Informationen

Kernelerweiterungen (Kexts) sind Pakete mit der Erweiterung .kext, die direkt in den macOS-Kernelraum geladen werden und dem Hauptbetriebssystem zusätzliche Funktionen bieten.

Anforderungen

Offensichtlich ist dies so mächtig, dass es kompliziert ist, eine Kernelerweiterung zu laden. Dies sind die Anforderungen, die eine Kernelerweiterung erfüllen muss, um geladen zu werden:

Beim Betreten des Wiederherstellungsmodus müssen Kernelerweiterungen zugelassen sein, um geladen zu werden:

Die Kernelerweiterung muss mit einem Kernelcodesignaturzertifikat signiert sein, das nur von Apple erteilt werden kann. Wer wird das Unternehmen und die Gründe, warum es benötigt wird, im Detail überprüfen.
Die Kernelerweiterung muss auch notariell beglaubigt sein, damit Apple sie auf Malware überprüfen kann.
Dann ist der Root-Benutzer derjenige, der die Kernelerweiterung laden kann und die Dateien innerhalb des Pakets müssen Root gehören.
Während des Upload-Vorgangs muss das Paket an einem geschützten Nicht-Root-Standort vorbereitet werden: /Library/StagedExtensions (erfordert die Berechtigung com.apple.rootless.storage.KernelExtensionManagement).
Schließlich wird der Benutzer beim Versuch, sie zu laden, eine Bestätigungsanfrage erhalten und, wenn akzeptiert, muss der Computer neu gestartet werden, um sie zu laden.

Ladevorgang

In Catalina war es so: Es ist interessant festzustellen, dass der Überprüfungsprozess in Benutzerland stattfindet. Nur Anwendungen mit der Berechtigung com.apple.private.security.kext-management können den Kernel auffordern, eine Erweiterung zu laden: kextcache, kextload, kextutil, kextd, syspolicyd

kextutil cli startet den Überprüfungsprozess zum Laden einer Erweiterung

Es wird mit kextd sprechen, indem es einen Mach-Dienst verwendet.

kextd wird verschiedene Dinge überprüfen, wie die Signatur

Es wird mit syspolicyd sprechen, um zu überprüfen, ob die Erweiterung geladen werden kann.

syspolicyd wird den Benutzer auffordern, wenn die Erweiterung nicht zuvor geladen wurde.

syspolicyd wird das Ergebnis an kextd melden

kextd kann schließlich den Kernel auffordern, die Erweiterung zu laden

Wenn kextd nicht verfügbar ist, kann kextutil die gleichen Überprüfungen durchführen.

Referenzen

Lernen Sie AWS-Hacking von Null auf Held mit htARTE (HackTricks AWS Red Team Expert)!

Arbeiten Sie in einem Cybersicherheitsunternehmen? Möchten Sie Ihr Unternehmen auf HackTricks beworben sehen? Oder möchten Sie Zugang zur neuesten Version von PEASS oder zum Herunterladen von HackTricks im PDF-Format haben? Überprüfen Sie die ABONNEMENTPLÄNE!
Entdecken Sie The PEASS Family, unsere exklusive Sammlung von NFTs
Holen Sie sich das offizielle PEASS- und HackTricks-Merch
Treten Sie dem 💬 Discord-Gruppe bei oder der Telegram-Gruppe bei oder folgen Sie mir auf Twitter 🐦@carlospolopm.
Teilen Sie Ihre Hacking-Tricks, indem Sie PR an hacktricks repo und hacktricks-cloud repo senden.

PreviousmacOS IOKit NextmacOS Kernel Vulnerabilities

Last updated 3 days ago