أعلن الباحث الأمني المعروف باسم Calif عن اكتشاف طريقة جديدة لتجاوز نظام Memory Integrity Enforcement (MIE) الذي أطلقته آبل مؤخراً لتعزيز أمان الذاكرة باستخدام تقنيات مدعومة عتادياً. هذا الاكتشاف أتاح تنفيذ سلسلة استغلال تؤدي إلى تصعيد الامتيازات إلى مستوى SYSTEM/Root على أنظمة macOS المحدثة بالكامل.
تفاصيل الاستغلال
- الثغرة تستهدف برنامج التشغيل cldflt.sys المرتبط بـ Cloud Files Mini Filter Driver.
- الاستغلال يعتمد على روتين برمجي يُعرف باسم HsmOsBlockPlaceholderAccess.
- يبدأ الهجوم من مستخدم محلي غير مميز، ويستخدم فقط استدعاءات النظام العادية، وينتهي بفتح قشرة Root.
- السلسلة تتضمن ثغرتين وتقنيات متعددة، وتعمل على أجهزة M5 مع تفعيل نظام حماية الذاكرة MIE.
أهمية الاكتشاف
يُعد هذا أول استغلال علني لتلف ذاكرة نواة macOS على معالجات M5 يتمكن من البقاء رغم وجود MIE. ويؤكد الباحث أن إثبات المفهوم يعمل بشكل موثوق على الإصدار macOS 26.4.1 (25E253)، لكنه يعتمد على شرط سباق (Race Condition)، ما يعني أن معدل النجاح قد يختلف بين الأجهزة.
خلفية وتداعيات
- الثغرة كانت قد أُبلغت إلى آبل لأول مرة عام 2020 بواسطة الباحث James Forshaw من فريق Google Project Zero، وظُن أنها أُصلحت في ديسمبر 2020 ضمن CVE-2020-17103.
- إلا أن التحقيقات الأخيرة أظهرت أن المشكلة ما زالت قائمة، أو ربما تم التراجع عن التصحيح بصمت.
- الباحثون قرروا حجب التفاصيل التقنية الكاملة مؤقتاً لإتاحة الوقت لآبل لمعالجة الثغرة.
دلالات على أمن macOS
هذا الاكتشاف يسلط الضوء على أن حتى الأنظمة المزودة بآليات حماية متقدمة مثل MIE ليست محصنة بالكامل ضد هجمات تصعيد الامتيازات. كما يعكس أهمية المراجعة المستمرة للتصحيحات الأمنية، خاصة عندما يتعلق الأمر بمكونات حساسة مثل نواة النظام.
