macOS SIP
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Basic Information
System Integrity Protection (SIP) macOS में एक तंत्र है जो सबसे विशेषाधिकार प्राप्त उपयोगकर्ताओं को भी महत्वपूर्ण सिस्टम फ़ोल्डरों में अनधिकृत परिवर्तनों से रोकने के लिए डिज़ाइन किया गया है। यह सुविधा सिस्टम की अखंडता बनाए रखने में महत्वपूर्ण भूमिका निभाती है, जैसे कि संरक्षित क्षेत्रों में फ़ाइलों को जोड़ना, संशोधित करना या हटाना। SIP द्वारा संरक्षित प्राथमिक फ़ोल्डर में शामिल हैं:
/System
/bin
/sbin
/usr
SIP के व्यवहार को नियंत्रित करने वाले नियम /System/Library/Sandbox/rootless.conf
में स्थित कॉन्फ़िगरेशन फ़ाइल में परिभाषित किए गए हैं। इस फ़ाइल में, उन पथों को जो एक तारांकित चिह्न (*) से पूर्ववर्ती होते हैं, अन्यथा कठोर SIP प्रतिबंधों के अपवाद के रूप में दर्शाया गया है।
नीचे दिए गए उदाहरण पर विचार करें:
यह स्निपेट यह संकेत करता है कि जबकि SIP सामान्यतः /usr
निर्देशिका को सुरक्षित करता है, कुछ विशिष्ट उपनिर्देशिकाएँ (/usr/libexec/cups
, /usr/local
, और /usr/share/man
) हैं जहाँ संशोधन की अनुमति है, जैसा कि उनके पथों के पहले अsterisk (*) द्वारा संकेतित है।
यह सत्यापित करने के लिए कि क्या कोई निर्देशिका या फ़ाइल SIP द्वारा सुरक्षित है, आप ls -lOd
कमांड का उपयोग कर सकते हैं ताकि restricted
या sunlnk
ध्वज की उपस्थिति की जांच की जा सके। उदाहरण के लिए:
इस मामले में, sunlnk
ध्वज यह दर्शाता है कि /usr/libexec/cups
निर्देशिका स्वयं हटाई नहीं जा सकती, हालांकि इसके भीतर फ़ाइलें बनाई, संशोधित या हटाई जा सकती हैं।
दूसरी ओर:
यहाँ, restricted
ध्वज इंगित करता है कि /usr/libexec
निर्देशिका SIP द्वारा संरक्षित है। SIP-संरक्षित निर्देशिका में, फ़ाइलें बनाई, संशोधित या हटाई नहीं जा सकतीं।
इसके अलावा, यदि एक फ़ाइल में com.apple.rootless
विस्तारित attribute है, तो वह फ़ाइल भी SIP द्वारा संरक्षित होगी।
ध्यान दें कि Sandbox हुक hook_vnode_check_setextattr
विस्तारित attribute com.apple.rootless
को संशोधित करने के किसी भी प्रयास को रोकता है।
SIP अन्य रूट क्रियाओं को भी सीमित करता है जैसे:
अविश्वसनीय कर्नेल एक्सटेंशन लोड करना
Apple-हस्ताक्षरित प्रक्रियाओं के लिए कार्य-ports प्राप्त करना
NVRAM चर को संशोधित करना
कर्नेल डिबगिंग की अनुमति देना
विकल्प nvram चर में एक बिटफ्लैग के रूप में बनाए रखे जाते हैं (csr-active-config
Intel पर और lp-sip0
ARM के लिए बूट किए गए डिवाइस ट्री से पढ़ा जाता है)। आप XNU स्रोत कोड में csr.sh
में ध्वज पा सकते हैं:
SIP स्थिति
आप निम्नलिखित कमांड के साथ जांच सकते हैं कि क्या SIP आपके सिस्टम पर सक्षम है:
यदि आपको SIP को निष्क्रिय करने की आवश्यकता है, तो आपको अपने कंप्यूटर को रिकवरी मोड में पुनः प्रारंभ करना होगा (स्टार्टअप के दौरान Command+R दबाकर), फिर निम्नलिखित कमांड निष्पादित करें:
यदि आप SIP को सक्षम रखना चाहते हैं लेकिन डिबगिंग सुरक्षा को हटाना चाहते हैं, तो आप ऐसा कर सकते हैं:
Other Restrictions
अनसाइन किए गए कर्नेल एक्सटेंशनों (kexts) को लोड करने की अनुमति नहीं देता, यह सुनिश्चित करता है कि केवल सत्यापित एक्सटेंशन सिस्टम कर्नेल के साथ इंटरैक्ट करें।
macOS सिस्टम प्रक्रियाओं का डिबगिंग रोकता है, अनधिकृत पहुंच और संशोधन से कोर सिस्टम घटकों की सुरक्षा करता है।
dtrace जैसे उपकरणों को सिस्टम प्रक्रियाओं का निरीक्षण करने से रोकता है, सिस्टम के संचालन की अखंडता की और सुरक्षा करता है।
इस वार्ता में SIP जानकारी के बारे में अधिक जानें.
SIP संबंधित अधिकार
com.apple.rootless.xpc.bootstrap
: launchd को नियंत्रित करेंcom.apple.rootless.install[.heritable]
: फ़ाइल प्रणाली तक पहुंचcom.apple.rootless.kext-management
:kext_request
com.apple.rootless.datavault.controller
: UF_DATAVAULT प्रबंधित करेंcom.apple.rootless.xpc.bootstrap
: XPC सेटअप क्षमताएँcom.apple.rootless.xpc.effective-root
: launchd XPC के माध्यम से रूटcom.apple.rootless.restricted-block-devices
: कच्चे ब्लॉक उपकरणों तक पहुंचcom.apple.rootless.internal.installer-equivalent
: बिना किसी प्रतिबंध के फ़ाइल प्रणाली तक पहुंचcom.apple.rootless.restricted-nvram-variables[.heritable]
: NVRAM तक पूर्ण पहुंचcom.apple.rootless.storage.label
: com.apple.rootless xattr द्वारा प्रतिबंधित फ़ाइलों को संबंधित लेबल के साथ संशोधित करेंcom.apple.rootless.volume.VM.label
: वॉल्यूम पर VM स्वैप बनाए रखें
SIP Bypasses
SIP को बायपास करने से एक हमलावर को:
उपयोगकर्ता डेटा तक पहुंच: सभी उपयोगकर्ता खातों से संवेदनशील उपयोगकर्ता डेटा जैसे मेल, संदेश, और सफारी इतिहास पढ़ें।
TCC बायपास: वेबकैम, माइक्रोफोन, और अन्य संसाधनों तक अनधिकृत पहुंच देने के लिए TCC (Transparency, Consent, and Control) डेटाबेस को सीधे संशोधित करें।
स्थायीता स्थापित करें: SIP-सुरक्षित स्थानों में मैलवेयर रखें, जिससे इसे हटाने के लिए प्रतिरोधी बनाया जा सके, यहां तक कि रूट विशेषाधिकारों द्वारा भी। इसमें मैलवेयर हटाने के उपकरण (MRT) के साथ छेड़छाड़ करने की संभावना भी शामिल है।
कर्नेल एक्सटेंशनों को लोड करें: हालांकि अतिरिक्त सुरक्षा उपाय हैं, SIP को बायपास करना अनसाइन किए गए कर्नेल एक्सटेंशनों को लोड करने की प्रक्रिया को सरल बनाता है।
इंस्टॉलर पैकेज
एप्पल के प्रमाणपत्र से हस्ताक्षरित इंस्टॉलर पैकेज इसकी सुरक्षा को बायपास कर सकते हैं। इसका मतलब है कि यदि वे SIP-सुरक्षित निर्देशिकाओं को संशोधित करने का प्रयास करते हैं तो मानक डेवलपर्स द्वारा हस्ताक्षरित पैकेज भी अवरुद्ध हो जाएंगे।
अस्तित्वहीन SIP फ़ाइल
एक संभावित छिद्र यह है कि यदि एक फ़ाइल rootless.conf
में निर्दिष्ट है लेकिन वर्तमान में मौजूद नहीं है, तो इसे बनाया जा सकता है। मैलवेयर इसका लाभ उठाकर सिस्टम पर स्थायीता स्थापित कर सकता है। उदाहरण के लिए, एक दुर्भावनापूर्ण प्रोग्राम /System/Library/LaunchDaemons
में एक .plist फ़ाइल बना सकता है यदि यह rootless.conf
में सूचीबद्ध है लेकिन मौजूद नहीं है।
com.apple.rootless.install.heritable
अधिकार com.apple.rootless.install.heritable
SIP को बायपास करने की अनुमति देता है
यह पाया गया कि सिस्टम द्वारा इसके कोड हस्ताक्षर की पुष्टि करने के बाद इंस्टॉलर पैकेज को स्वैप करना संभव था और फिर, सिस्टम मूल के बजाय दुर्भावनापूर्ण पैकेज स्थापित करेगा। चूंकि ये क्रियाएँ system_installd
द्वारा की गई थीं, यह SIP को बायपास करने की अनुमति देगा।
यदि एक पैकेज एक माउंटेड इमेज या बाहरी ड्राइव से स्थापित किया गया था तो इंस्टॉलर उस फ़ाइल प्रणाली से बाइनरी को निष्पादित करेगा (SIP-सुरक्षित स्थान से नहीं), जिससे system_installd
एक मनमाना बाइनरी निष्पादित करेगा।
CVE-2021-30892 - Shrootless
इस ब्लॉग पोस्ट के शोधकर्ताओं ने macOS के सिस्टम इंटीग्रिटी प्रोटेक्शन (SIP) तंत्र में एक भेद्यता का पता लगाया, जिसे 'Shrootless' भेद्यता कहा गया। यह भेद्यता system_installd
डेमन के चारों ओर केंद्रित है, जिसमें एक अधिकार है, com.apple.rootless.install.heritable
, जो इसके किसी भी चाइल्ड प्रोसेस को SIP के फ़ाइल प्रणाली प्रतिबंधों को बायपास करने की अनुमति देता है।
system_installd
डेमन उन पैकेजों को स्थापित करेगा जो Apple द्वारा हस्ताक्षरित हैं।
शोधकर्ताओं ने पाया कि Apple-साइन किए गए पैकेज (.pkg फ़ाइल) की स्थापना के दौरान, system_installd
पैकेज में शामिल किसी भी पोस्ट-इंस्टॉल स्क्रिप्ट को निष्पादित करता है। ये स्क्रिप्ट डिफ़ॉल्ट शेल, zsh
द्वारा निष्पादित की जाती हैं, जो स्वचालित रूप से /etc/zshenv
फ़ाइल से कमांड चलाती है, यदि यह मौजूद है, यहां तक कि गैर-इंटरएक्टिव मोड में भी। इस व्यवहार का उपयोग हमलावरों द्वारा किया जा सकता है: एक दुर्भावनापूर्ण /etc/zshenv
फ़ाइल बनाकर और system_installd
के zsh
को सक्रिय करने की प्रतीक्षा करके, वे डिवाइस पर मनमाने ऑपरेशन कर सकते हैं।
इसके अलावा, यह पाया गया कि /etc/zshenv
को एक सामान्य हमले की तकनीक के रूप में उपयोग किया जा सकता है, न कि केवल SIP बायपास के लिए। प्रत्येक उपयोगकर्ता प्रोफ़ाइल में एक ~/.zshenv
फ़ाइल होती है, जो /etc/zshenv
की तरह व्यवहार करती है लेकिन रूट अनुमतियों की आवश्यकता नहीं होती। इस फ़ाइल का उपयोग एक स्थायीता तंत्र के रूप में किया जा सकता है, जो हर बार zsh
शुरू होने पर ट्रिगर होता है, या विशेषाधिकार बढ़ाने के तंत्र के रूप में। यदि एक व्यवस्थापक उपयोगकर्ता sudo -s
या sudo <command>
का उपयोग करके रूट में बढ़ता है, तो ~/.zshenv
फ़ाइल को ट्रिगर किया जाएगा, प्रभावी रूप से रूट में बढ़ाते हुए।
CVE-2022-22583 में यह पाया गया कि वही system_installd
प्रक्रिया अभी भी दुरुपयोग की जा सकती है क्योंकि यह /tmp
के अंदर SIP द्वारा संरक्षित एक यादृच्छिक नामित फ़ोल्डर के अंदर पोस्ट-इंस्टॉल स्क्रिप्ट डाल रही थी। बात यह है कि /tmp
स्वयं SIP द्वारा संरक्षित नहीं है, इसलिए एक वर्चुअल इमेज को उस पर माउंट करना संभव था, फिर इंस्टॉलर वहां पोस्ट-इंस्टॉल स्क्रिप्ट डालता, वर्चुअल इमेज को अनमाउंट करता, सभी फ़ोल्डरों को फिर से बनाता और पेलोड के साथ पोस्ट इंस्टॉलेशन स्क्रिप्ट जोड़ता।
एक भेद्यता की पहचान की गई जहां fsck_cs
को एक महत्वपूर्ण फ़ाइल को भ्रष्ट करने के लिए गुमराह किया गया, इसकी सांकेतिक लिंक का पालन करने की क्षमता के कारण। विशेष रूप से, हमलावरों ने /dev/diskX
से फ़ाइल /System/Library/Extensions/AppleKextExcludeList.kext/Contents/Info.plist
के लिए एक लिंक तैयार किया। /dev/diskX
पर fsck_cs
को निष्पादित करने से Info.plist
का भ्रष्टाचार हुआ। इस फ़ाइल की अखंडता ऑपरेटिंग सिस्टम के SIP (सिस्टम इंटीग्रिटी प्रोटेक्शन) के लिए महत्वपूर्ण है, जो कर्नेल एक्सटेंशनों के लोडिंग को नियंत्रित करता है। एक बार भ्रष्ट होने पर, SIP की कर्नेल अपवाद प्रबंधन की क्षमता प्रभावित होती है।
इस भेद्यता का लाभ उठाने के लिए आदेश हैं:
इस कमजोरियों के शोषण के गंभीर परिणाम हैं। Info.plist
फ़ाइल, जो सामान्यतः कर्नेल एक्सटेंशन के लिए अनुमतियों का प्रबंधन करने के लिए जिम्मेदार होती है, अप्रभावी हो जाती है। इसमें कुछ एक्सटेंशनों, जैसे AppleHWAccess.kext
को ब्लैकलिस्ट करने की असमर्थता शामिल है। परिणामस्वरूप, SIP के नियंत्रण तंत्र के खराब होने के कारण, इस एक्सटेंशन को लोड किया जा सकता है, जो सिस्टम की RAM तक अनधिकृत पढ़ने और लिखने की पहुंच प्रदान करता है।
सुरक्षा को बायपास करने के लिए SIP संरक्षित फ़ोल्डरों पर एक नई फ़ाइल प्रणाली को माउंट करना संभव था।
सिस्टम को Install macOS Sierra.app
के भीतर एक एम्बेडेड इंस्टॉलर डिस्क इमेज से बूट करने के लिए सेट किया गया है ताकि OS को अपग्रेड किया जा सके, bless
उपयोगिता का उपयोग करते हुए। उपयोग की जाने वाली कमांड इस प्रकार है:
इस प्रक्रिया की सुरक्षा को खतरा हो सकता है यदि एक हमलावर बूट करने से पहले अपग्रेड इमेज (InstallESD.dmg
) को बदलता है। रणनीति में एक डायनामिक लोडर (dyld) को एक दुर्भावनापूर्ण संस्करण (libBaseIA.dylib
) के साथ प्रतिस्थापित करना शामिल है। यह प्रतिस्थापन तब होता है जब इंस्टॉलर शुरू होता है, हमलावर के कोड का निष्पादन होता है।
हमलावर का कोड अपग्रेड प्रक्रिया के दौरान नियंत्रण प्राप्त करता है, इंस्टॉलर पर सिस्टम के विश्वास का लाभ उठाते हुए। हमला InstallESD.dmg
इमेज को मेथड स्विज़लिंग के माध्यम से बदलने के द्वारा आगे बढ़ता है, विशेष रूप से extractBootBits
मेथड को लक्षित करता है। इससे डिस्क इमेज का उपयोग करने से पहले दुर्भावनापूर्ण कोड को इंजेक्ट करने की अनुमति मिलती है।
इसके अलावा, InstallESD.dmg
के भीतर, एक BaseSystem.dmg
है, जो अपग्रेड कोड की रूट फ़ाइल प्रणाली के रूप में कार्य करता है। इसमें डायनामिक लाइब्रेरी को इंजेक्ट करने से दुर्भावनापूर्ण कोड को OS-स्तरीय फ़ाइलों को बदलने में सक्षम प्रक्रिया के भीतर कार्य करने की अनुमति मिलती है, जिससे सिस्टम के समझौते की संभावना काफी बढ़ जाती है।
DEF CON 31 से इस वार्ता में दिखाया गया है कि systemmigrationd
(जो SIP को बायपास कर सकता है) एक bash और एक perl स्क्रिप्ट को निष्पादित करता है, जिसे env वेरिएबल BASH_ENV
और PERL5OPT
के माध्यम से दुरुपयोग किया जा सकता है।
CVE-2023-42860
जैसा कि इस ब्लॉग पोस्ट में विस्तृत किया गया है, InstallAssistant.pkg
पैकेज से एक postinstall
स्क्रिप्ट निष्पादित हो रही थी:
and यह संभव था कि ${SHARED_SUPPORT_PATH}/SharedSupport.dmg
में एक symlink बनाया जाए जो एक उपयोगकर्ता को किसी भी फ़ाइल को अनरिस्ट्रिक्ट करने की अनुमति देता है, SIP सुरक्षा को बायपास करते हुए।
com.apple.rootless.install
अधिकार com.apple.rootless.install
SIP को बायपास करने की अनुमति देता है
अधिकार com.apple.rootless.install
macOS पर सिस्टम इंटीग्रिटी प्रोटेक्शन (SIP) को बायपास करने के लिए जाना जाता है। यह विशेष रूप से CVE-2022-26712 के संदर्भ में उल्लेखित किया गया था।
इस विशेष मामले में, /System/Library/PrivateFrameworks/ShoveService.framework/Versions/A/XPCServices/SystemShoveService.xpc
पर स्थित सिस्टम XPC सेवा के पास यह अधिकार है। यह संबंधित प्रक्रिया को SIP प्रतिबंधों को दरकिनार करने की अनुमति देता है। इसके अलावा, यह सेवा विशेष रूप से एक विधि प्रस्तुत करती है जो बिना किसी सुरक्षा उपायों को लागू किए फ़ाइलों को स्थानांतरित करने की अनुमति देती है।
सील किए गए सिस्टम स्नैपशॉट
सील किए गए सिस्टम स्नैपशॉट एक विशेषता है जिसे Apple ने macOS Big Sur (macOS 11) में सिस्टम इंटीग्रिटी प्रोटेक्शन (SIP) तंत्र के हिस्से के रूप में सुरक्षा और सिस्टम स्थिरता की एक अतिरिक्त परत प्रदान करने के लिए पेश किया है। ये मूल रूप से सिस्टम वॉल्यूम के केवल पढ़ने योग्य संस्करण हैं।
यहाँ एक अधिक विस्तृत नज़र है:
अपरिवर्तनीय सिस्टम: सील किए गए सिस्टम स्नैपशॉट macOS सिस्टम वॉल्यूम को "अपरिवर्तनीय" बनाते हैं, जिसका अर्थ है कि इसे संशोधित नहीं किया जा सकता। यह सुरक्षा या सिस्टम स्थिरता को खतरे में डालने वाले किसी भी अनधिकृत या आकस्मिक परिवर्तनों को रोकता है।
सिस्टम सॉफ़्टवेयर अपडेट: जब आप macOS अपडेट या अपग्रेड स्थापित करते हैं, तो macOS एक नया सिस्टम स्नैपशॉट बनाता है। फिर macOS स्टार्टअप वॉल्यूम इस नए स्नैपशॉट पर स्विच करने के लिए APFS (Apple File System) का उपयोग करता है। अपडेट लागू करने की पूरी प्रक्रिया अधिक सुरक्षित और विश्वसनीय हो जाती है क्योंकि यदि अपडेट के दौरान कुछ गलत होता है, तो सिस्टम हमेशा पिछले स्नैपशॉट पर वापस लौट सकता है।
डेटा पृथक्करण: macOS कैटालिना में पेश किए गए डेटा और सिस्टम वॉल्यूम पृथक्करण के सिद्धांत के साथ, सील किए गए सिस्टम स्नैपशॉट सुविधा सुनिश्चित करती है कि आपके सभी डेटा और सेटिंग्स एक अलग "डेटा" वॉल्यूम पर संग्रहीत हैं। यह पृथक्करण आपके डेटा को सिस्टम से स्वतंत्र बनाता है, जो सिस्टम अपडेट की प्रक्रिया को सरल बनाता है और सिस्टम सुरक्षा को बढ़ाता है।
याद रखें कि ये स्नैपशॉट macOS द्वारा स्वचालित रूप से प्रबंधित होते हैं और आपके डिस्क पर अतिरिक्त स्थान नहीं लेते हैं, APFS की स्थान साझा करने की क्षमताओं के लिए धन्यवाद। यह भी महत्वपूर्ण है कि ये स्नैपशॉट टाइम मशीन स्नैपशॉट से भिन्न होते हैं, जो पूरे सिस्टम के उपयोगकर्ता-सुलभ बैकअप होते हैं।
स्नैपशॉट की जांच करें
कमांड diskutil apfs list
APFS वॉल्यूम के विवरण और उनके लेआउट को सूचीबद्ध करता है:
पिछले आउटपुट में यह देखना संभव है कि उपयोगकर्ता-सुलभ स्थान /System/Volumes/Data
के तहत माउंट किए गए हैं।
इसके अलावा, macOS सिस्टम वॉल्यूम स्नैपशॉट /
में माउंट किया गया है और यह सील है (OS द्वारा क्रिप्टोग्राफिक रूप से हस्ताक्षरित)। इसलिए, यदि SIP को बायपास किया जाता है और इसे संशोधित किया जाता है, तो OS अब बूट नहीं होगा।
यह भी संभव है कि सत्यापित करें कि सील सक्षम है चलाकर:
इसके अलावा, स्नैपशॉट डिस्क को केवल-पढ़ने के रूप में भी माउंट किया गया है:
सीखें और AWS हैकिंग का अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE) सीखें और GCP हैकिंग का अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)
Last updated