CVE-2023-42931-Erkennung: Kritische macOS-Schwachstelle ermöglicht einfache Privilegienerweiterung und Root-Zugriff
Inhaltsverzeichnis:
Sicherheitsforscher warnen vor einer kritischen Schwachstelle zur Privilegieneskalation in mehreren macOS-Versionen, die es unbefugten Benutzern, einschließlich Benutzern mit Gastrechten, ermöglicht, vollständigen Root-Zugriff auf die betroffene Instanz zu erlangen.
Erkennung von CVE-2023-42931 Ausnutzungsversuchen
Angesichts eines exponentiellen Anstiegs des Angriffsvolumens und der Raffinesse wird angenommen, dass die Bedrohungslandschaft 2024 noch herausfordernder sein wird als im letzten Jahr. Die Kosten von Cyberangriffen für die globale Wirtschaft werden bis Ende 2024 auf über 10,5 Billionen US-Dollar geschätzt. Unter Berücksichtigung von über 29.000 neuen CVEs, die 2023 entdeckt wurden, und einem prognostizierten Anstieg von 14,5% für 2024 benötigen IT-Sicherheitsexperten fortschrittliche Lösungen, um Bedrohungen proaktiv zu erkennen und abzuwehren.
Um Sicherheitsfachleuten zu helfen, bösartige Aktivitäten im Zusammenhang mit der Ausnutzung von CVE-2023-42931 zu erkennen, bietet die SOC Prime Plattform für kollektive Cyberverteidigung eine kuratierte Sigma-Regel basierend auf dem Proof-of-Concept (PoC) Exploit, der öffentlich im Web zugänglich ist.
Möglicher CVE-2023-42931 (macOS Privilegieneskalation) Ausnutzungsversuch (über cmdline)
Die obige Regel ist mit 23 SIEM-, EDR-, XDR- und Data-Lake-Technologien kompatibel und auf das MITRE ATT&CK-Framework Version 14 abgebildet.
Cyber-Abwehrkräfte können in den gesamten Erkennungs-Stack eintauchen, der auf die Erkennung von Schwachstellenausnutzungen abzielt, um die Effizienz des SOC zu steigern und Bedrohungsanalysen zu erleichtern. Klicken Sie auf den Erkennungen erkunden Button unten und vertiefen Sie sich in die umfangreichen Sammlungen von Sigma-Regeln, die mit relevanten Metadaten angereichert sind. Die Regeln werden spezifisch durch CTI-Links, ATT&CK-Referenzen, Triage-Empfehlungen, Angriffschronologien und mehr begleitet.
CVE-2023-42931 Analyse
Laut der detaillierten Analyse von Yann Gascuel von Alter Solutions resultiert CVE-2023-42931 aus einem „diskutil“ Kommandozeilenprogramm, das Mount-Optionen über die „-mountOptions“ Argumente akzeptiert. Insbesondere kann jeder lokale Bedrohungsakteur, auch einer mit Gastrechten, Dateisysteme mit bestimmten Optionen mounten und so erfolgreich Privilegien auf Root-Ebene erhöhen.
Insbesondere könnten Gegner eine root-besessene Datei in ein beliebiges beliebiges binäres Programm umwandeln und das setuid-Bit hinzufügen, indem sie diskutil -mountOptions Parameter verwenden, um letztendlich ein Dateisystem mit einem ¨noowners¨ Flag zu erhalten. Dies würde folglich zu einer Privilegieneskalation führen, wenn die Datei im Rampenlicht im ¨owners¨-Modus erneut gemountet wird.
Obwohl der Ablauf ziemlich einfach aussieht, weist der Sicherheitsforscher darauf hin, dass die moderne Festplatten-/Dateisystem-Hierarchie von macOS und die Schutzmaßnahmen der System Integrity Protection (SIP) bösartige Modifikationen sensibler Systemdateien auf Kernel-Ebene verhindern. Dennoch entwickelte Yann Gascuel einen funktionierenden Exploit-Pfad, um die Schutzmaßnahmen zu überwinden.
Die CVE-2023-42931-Schwachstelle betrifft macOS Monterey vor Version 12.7.2, macOS Ventura vor Version 13.6.3 und macOS Sonoma vor Version 14.2.Nachdem der Fehler dem Hersteller gemeldet wurde, veröffentlichte Apple einen Patch in den macOS-Versionen Sonoma 14.2, Ventura 13.6.3und Monterey 12.7.2.Â
Die zunehmende Raffinesse und ein exponentieller Anstieg der Angriffsvolumina erfordern von Verteidigern eine ultra-reaktionsschnelle Unterstützung durch innovative Technologien und kollektive Cyberabwehr. Starten Sie mit Uncoder IO, einer Open-Source-IDE für Detection Engineering, um Ihnen zu helfen, schneller und besserer Erkennungscode gegen auftretende Bedrohungen zu schreiben, IOC-Abgleich zu optimieren und Regeln in mehrere Cybersecurity-Sprachen zu übersetzen. Tragen Sie zu Uncoder auf GitHub bei , um uns zu helfen, das Projekt weiterzuentwickeln und die Zusammenarbeit in der Branche im großen Stil zu fördern.
