2min

Tags in dit artikel

, ,

De beveiligingsonderzoeker Dino Dai Zovi zal tijdens de Black Hat-conferentie een presentatie geven over een nieuwe Mac OS X-rootkit.

De kernel van Mac OS X is een hybride tussen de BSD- en Mach-kernel. De Mach-kernel heeft verschillende mogelijkheden om te communiceren, maar veel van deze manieren zijn in Mac OS X verwijderd. De rootkit van Dai Zovi voegt deze communiceermogelijkheden opnieuw toe, waardoor een aanvaller op afstand Mach-berichten van en naar een gecrackte machine kan sturen.

Volgens de onderzoeker zijn deze berichten in de kernel of in userlineprocessen te injecteren, waarmee het mogelijk is om volledige controle te krijgen over het systeem. Zo kunnen nieuwe processen en paden worden aangemaakt en kan code in willekeurige processen geïnjecteerd worden.

"Ik heb een voorbeeldagent die je in Apples Safari kunt injecteren en die al het SSL-verkeer vastlegt en onderschept. Dit is slechts een van de dingen die je kunt doen", zo vertelt Dai Zovi.

Er is bovendien niets aanwezig in Mac OS X wat deze aanvallen moet voorkomen: "De technieken die deze aanvallen voorkomen zijn vooral van Microsoft afkomstig. Apple speelt de tweede viool."

Apple heeft weliswaar library randomization geïmplementeerd in Mac OS X, wat lijkt op ASLR van Microsoft, maar de onderzoeker meent dat dit niet meer is dan een marketingtruc. "Ik heb vorig jaar meerdere malen laten zien dat dit in werkelijkheid geen exploit kan stoppen, omdat het belangrijke delen van de geheugenruimte hetzelfde houdt. Daarom is het meer een marketingverhaal dan een echte maatregel om aanvallen te voorkomen."

Echter, het aantal dreigingen voor Mac OS X is nog altijd zeer beperkt, wat gebruikers van dat platform wel het recht geeft om vol vertrouwen te zijn. "We zien niet dezelfde aanvallen zoals bij Windows-gebruikers het geval is, maar het doel van beveiligingsonderzoek, eigenlijk elk onderzoek, is om vooruit te kijken en zaken te onderzoeken die in de toekomst een probleem kunnen vormen."