Menú principal

jueves, 7 de septiembre de 2017

Secure Kernel Extension Loading: La nueva caracterísitica de seguridad de High Sierra está rota (Parte I)

Cada nueva release de macOS viene con una nueva caracterísitica de seguridad. En este caso macOS High Sierra 10.13 no es una excepción. La característica se llama Secure Kernel Extension Loading o SKEL. Según la documentación de Apple Technical Note TN2459, Secure Kernel Extension Loading es una nueva característica que requiere la aprobación del usuario antes de cargar una extensión del kernel de terceros. Deste OS X Yosemite cualquier kext debe ser firmado con un certificado del kernel

El objetivo principal de SKEL es bloquear la carga de los kexts legítimos, pero vulnerables. Apple proporciona una lista negra de estos kext vía el siguiente diccionario OSKextExcludeList en AppleKextExcludeList.kext/Contents/Info.plist. Aquí los atacantes podrían cargar estos kext, pudiendo obtener código arbitrario ejecutado en un contexto de kernel. Tal y como ocurre cuando un usuario, instalador o malware intenta cargar un kext firmado por terceros sobre High Sierra, éste debería ser bloqueado por SKEL y el usuario sería alertado.
Figura 1: SKEL en funcionamiento

Una vez el usuario permite que el kext se cargue, el sistema actualiza la entrada en Kext Policy Database, poniendo a 1 el valor asociado a dicho kext. Para poder ver las alertas de SKEL, el usuario puede ir a Ajustes y en el apartado Seguridad y Privacidad, en la pestaña General, ver dichas alertas y aceptarlas o no. En este artículo se puede ver qué es SKEL y cual es su funcinamiento básico. ¿Está roto? En el siguiente artículo veremos cómo se hace un bypass.

No hay comentarios:

Publicar un comentario

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch ...

Otras historias relacionadas

Entradas populares