Onderzoeker publiceert exploit voor 15 jaar oude lek in kernel macOS

IT-beveiliging (bron: Pixabay)

Een nieuwe kwetsbaarheid in macOS geeft aanvallers zonder verhoogde rechten de mogelijkheid het volledige systeem over te nemen. Het gaat om een kwetsbaarheid in IOHIDFamily, een kernelextensie voor human interface devices. De kwetsbaarheid is al zeker sinds 2002 aanwezig in macOS.

Informatie over de kwetsbaarheid en een exploit is door een gebruiker genaamd Siguza op oudejaarsavond gepubliceerd op GitHub. Op Hackers News geeft Siguza aan de kwetsbaarheid al in februari 2017 te hebben ontdekt. Vervolgens zou hij een exploit hebben uitgewerkt, die hij kort na de lancering van High Sierra had willen vrijgeven. Deze versie van macOS bleek echter enkele wijzigingen te bevatten die de werking van de exploit verstoorden, waardoor de exploit moest worden herschreven. Zo’n elf maanden na zijn ontdekking geeft Siguza de exploit dus alsnog vrij.

Zero Disclosure Initiative

Ook geeft Siguza aan de exploit te hebben aangemeld bij het Zero Day Initiative (ZDI) van Trend Micro. De hacker stelt echter eerder al de exploit en een uitgebreide tekst over de kwetsbaarheid te hebben geschreven, aangezien hij naar eigen zeggen meer van hacken houdt dan van geld. Het bedrag wat ZDI aanbood voor de kwetsbaarheid zou onvoldoende zijn geweest om hem te overtuigen de kwetsbaarheid niet openbaar te maken, iets wat Siguza op oudejaarsavond dus uiteindelijk heeft gedaan.

De hacker wijst erop dat om de exploit uit te voeren een aanvaller al de mogelijkheid moet hebben code uit te voeren op een systeem. Siguza stelt dat een aanvaller die deze rechten heeft weten te verkrijgen, zijn exploit niet nodig heeft om kernelrechten te verkrijgen. De hacker stelt dan ook dat het vrijgeven van zijn exploit voor reguliere gebruikers niets verandert.

Al langer bekend

Siguza meldt op Hacker News inmiddels contact te hebben gehad over de kwetsbaarheid. Een lid van het security team van Apple geeft volgens Siguza aan dat de kwetsbaarheid al langer bekend was. Ook zou Apple eerder een patch hebben vrijgegeven om het lek te dichten, maar deze patch verhielp de kwetsbaarheid in de praktijk niet.