CVE-2023-42931 탐지: 손쉬운 권한 상승 및 루트 액세스를 가능케 하는 중요한 macOS 취약점

보안 연구원들은 여러 macOS 버전에서 승인되지 않은 사용자가 게스트 권한을 포함하여 영향을 받는 인스턴스에 대한 루트 권한을 완전히 획득할 수 있는 중대한 권한 상승 취약점이 있다고 경고합니다.

CVE-2023-42931 악용 시도 탐지

공격량과 정교함의 기하급수적인 증가로 인해 2024년의 위협 환경이 작년보다 더욱 도전적일 것으로 예상됩니다. 전 세계 경제에서 사이버 공격의 비용은 2024년 말까지 10.5조 미국 달러를 초과할 것으로 추정됩니다. 2023년에 발견된 29,000개 이상의 새로운 CVE를 고려할 때, 2024년에 14.5%의 증가가 예상되어 보안 전문가들은 위협을 선제적으로 탐지하고 방어하기 위한 고급 솔루션이 필요합니다.

CVE-2023-42931 악용과 관련된 악의적인 활동을 탐지하기 위해, SOC Prime Platform은 웹에 공개적으로 접근 가능한 포괄적인 Sigma 규칙을 제공합니다.

CVE-2023-42931 (MacOS 권한 상승) 악용 시도 가능성 (명령줄을 통해)

위 규칙은 23개의 SIEM, EDR, XDR 및 데이터 레이크 기술과 호환되며 MITRE ATT&CK 프레임워크 v14에 매핑됩니다.

사이버 방어자는 SOC 효율성을 높이고 위협 조사를 원활하게 하기 위해 취약점 탐지에 초점을 맞춘 전체 탐지 스택을 탐색할 수 있습니다. 아래의 탐지 탐색 버튼을 눌러, 관련 메타데이터로 강화된 Sigma 규칙의 포괄적인 컬렉션을 탐색하십시오. 특히, 규칙에는 CTI 링크, ATT&CK 참조, 분류 추천, 공격 타임라인 등이 포함되어 있습니다.

탐지 탐색

CVE-2023-42931 분석

상세한 분석 에 따르면 Yann Gascuel의 Alter Solutions에서 CVE-2023-42931은 “diskutil” 명령줄 유틸리티가 “-mountOptions” 인수를 통해 마운트 옵션을 수용함으로 인해 발생합니다. 특히 게스트 권한을 포함한 모든 로컬 위협 행위자는 특정 옵션을 통해 파일 시스템을 마운트하여 성공적으로 권한을 루트로 상승시킬 수 있습니다.

특히 적들은 루트 소유 파일을 임의의 이진 파일로 변경하고 ” diskutil -mountOptions 매개변수를 사용하여 ‘noowners’ 플래그를 가진 파일 시스템을 생성할 수 있습니다. 결과적으로 이 파일이 ‘owners’ 모드로 다시 마운트될 때 권한 상승이 발생합니다. ¨noowners¨ 루틴은 상당히 간단해 보이지만, 보안 연구원은 macOS의 현대 디스크/파일 시스템 계층 구조 및 시스템 무결성 보호(SIP)의 보호 조치가 커널 수준에서 중요한 시스템 파일의 악의적인 수정을 방지한다고 지적합니다. 그러나 Yann Gascuel은 보호 장치를 극복할 수 있는 실행 경로를 고안했습니다.

Although the routine looks pretty easy, security researcher indicates that macOS´s modern disk/filesystem hierarchy and the protective measures of System Integrity Protection (SIP) prevent malicious modifications of sensitive system files at the kernel level. Yet, Yann Gascuel devised a working exploit path to overcome the protections.

CVE-2023-42931 취약점은 macOS Monterey 12.7.2 이전 버전, macOS Ventura 13.6.3 이전 버전, macOS Sonoma 14.2 이전 버전에 영향을 미칩니다.결함이 공급업체에 보고된 후, Apple은 macOS 버전에서 패치를 배포했습니다. Sonoma 14.2, Ventura 13.6.3, 과 Monterey 12.7.2. 

공격량의 급증 및 정교함의 증가로 인해 초고속 대응이 필요하며 혁신적인 기술과 공동 사이버 방어로 이를 뒷받침해야 합니다. Uncoder IO 시작하기, 신규 위협에 대한 탐지 코드를 더 빠르고 더 잘 작성할 수 있도록 도와주는 오픈소스 IDE인 Detection Engineering을 활용하여 IOC 매칭을 간소화하고 규칙을 다양한 사이버 보안 언어로 즉시 변환할 수 있도록 돕습니다. GitHub에서 Uncoder에 기여하기 프로젝트를 발전시키고 대규모로 업계 협업을 촉진하는 데 도움을 주세요.