Lỗ hổng kernel macOS đầu tiên bị khai thác thành công trên chip Apple M5

Lỗ hổng kernel macOS đầu tiên bị khai thác thành công trên chip Apple M5

Apple đã dành 5 năm để xây dựng phần cứng và phần mềm nhằm làm cho việc khai thác lỗi hỏng bộ nhớ trở nên khó khăn hơn bao giờ hết. Tuy nhiên, các kỹ sư của chúng tôi, làm việc cùng với Mythos Preview, đã xây dựng thành công một khai thác hoạt động chỉ trong 5 ngày.

Kỹ sư tại Apple Park

Vào đầu tuần này, chúng tôi đã có một cuộc họp tại trụ sở Apple Park ở Cupertino. Trong khi ở đó, chúng tôi cũng đã chia sẻ với Apple báo cáo nghiên cứu lỗ hổng mới nhất của mình: khai thác hỏng bộ nhớ kernel macOS công khai đầu tiên trên silicon M5, có thể sống sót qua cơ chế MIE. Báo cáo được in bằng máy laser để tôn trọng những người bạn hacker của chúng tôi.

Chúng tôi muốn báo cáo trực tiếp thay vì bị chìm nghỉm trong hàng loạt bài nộp mà một số người tham gia Pwn2Own không may phải trải qua. Hầu hết các hacker được tôn trọng đều tránh tương tác với con người bất cứ khi nào có thể, vì vậy chiến lược vật lý này có thể mang lại cho chúng tôi một chút lợi thế trong cuộc đua vĩnh cửu để có 5 phút nổi tiếng trên Twitter.

Đây là câu chuyện về cuộc khai thác và chuyến đi thực địa của chúng tôi. Chi tiết kỹ thuật đầy đủ sẽ được chia sẻ sau khi Apple khắc phục các lỗ hổng và đường dẫn tấn công. Hy vọng công ty yêu quý của chúng tôi sẽ không mất quá nhiều thời gian. Chúng tôi chỉ dự trù phí đăng ký tên miền một năm cho cuộc tấn công này.

Bối cảnh bảo mật và MIE

Lỗi hỏng bộ nhớ vẫn là lớp lỗ hổng phổ biến nhất ở khắp mọi nơi, bao gồm cả iOS và macOS. Trong bảo mật, nếu bạn không thể ngăn chặn hoàn toàn một thứ gì đó, bạn chấp nhận rủi ro và giảm thiểu nó bằng cách làm cho việc khai thác tốn kém hơn.

Tuy nhiên, các biện pháp giảm thiểu không hề rẻ. Nếu hiệu suất không quan trọng, nhiều vấn đề bảo mật sẽ dễ giải quyết. Apple rất thông minh và kiểm soát toàn bộ ngăn xếp, vì họ đã đẩy nhiều lớp phòng thủ này trực tiếp vào phần cứng và làm cho việc vượt qua chúng trở nên khó khăn hơn đáng kể. Nhiều chuyên gia bảo mật coi thiết bị Apple là nền tảng tiêu dùng an toàn nhất.

Ví dụ tiêu biểu gần đây nhất là MIE (Memory Integrity Enforcement), hệ thống an toàn bộ nhớ được hỗ trợ bởi phần cứng của Apple được xây dựng dựa trên MTE (Memory Tagging Extension) của ARM. Nó được giới thiệu là tính năng bảo mật nổi bật cho Apple M5 và A19, được thiết kế cụ thể để ngăn chặn khai thác lỗi hỏng bộ nhớ — lớp lỗ hổng đứng sau nhiều sự xâm nhập tinh vi nhất trên iOS và macOS.

Apple đã dành 5 năm để xây dựng nó. Có lẽ là hàng tỷ đô la. Theo nghiên cứu của họ, MIE làm gián đoạn mọi chuỗi khai thác công khai chống lại iOS hiện đại, bao gồm cả các bộ công cụ khai thác Coruna và Darksword bị rò rỉ gần đây.

Quy trình phát hiện và khai thác

Chúng tôi đã có một hành trình thú vị khám phá cách AI có thể giúp xây dựng các khai thác vẫn hoạt động dưới MTE. Mặc dù trọng tâm của Apple chủ yếu là iOS, họ cũng đã mang MIE đến M5, con chip cung cấp sức mạnh cho các MacBook mới nhất.

Đường dẫn tấn công macOS của chúng tôi thực sự là một phát hiện tình cờ. Bruce Dang đã tìm thấy các lỗi này vào ngày 25 tháng 4. Dion Blazakis gia nhập Calif vào ngày 27 tháng 4. Josh Maine đã xây dựng các công cụ hỗ trợ, và đến ngày 1 tháng 5, chúng tôi đã có một khai thác hoạt động.

Cuộc khai thác này là một chuỗi nâng quyền cục bộ (local privilege escalation) chỉ dùng dữ liệu nhắm vào kernel của macOS 26.4.1 (25E253). Nó bắt đầu từ một người dùng cục bộ không có đặc quyền, chỉ sử dụng các cuộc gọi hệ thống bình thường, và kết thúc bằng một root shell. Đường dẫn triển khai liên quan đến hai lỗ hổng và một số kỹ thuật, nhắm vào phần cứng M5 bare-metal với kernel MIE được bật.

Chúng tôi không xây dựng chuỗi này một mình. Mythos Preview đã giúp xác định các lỗi và hỗ trợ trong suốt quá trình phát triển khai thác.

Mythos Preview rất mạnh mẽ: một khi nó đã học cách tấn công một lớp vấn đề, nó có thể khái quát hóa cho hầu hết mọi vấn đề trong lớp đó. Mythos đã phát hiện ra các lỗi nhanh chóng vì chúng thuộc về các lớp lỗi đã biết. Nhưng MIE là một biện pháp giảm thiểu mới nhất trong lớp, nên việc tự động vượt qua nó có thể khá khó khăn. Đây chính là nơi chuyên môn của con người phát huy tác dụng.

Một phần động lực của chúng tôi là kiểm tra những gì có thể thực hiện được khi các mô hình tốt nhất được kết hợp với các chuyên gia. Việc triển khai thành công một khai thác hỏng bộ nhớ kernel chống lại các biện pháp bảo vệ tốt nhất trong vòng một tuần là đáng chú ý, và nói lên điều gì đó mạnh mẽ về sự kết hợp này.

Tương lai của bảo mật trước AI

Theo hiểu biết tốt nhất của chúng tôi, đây là khai thác kernel macOS công khai đầu tiên trên phần cứng MIE. Một lần nữa, chúng tôi sẽ công bố báo cáo 55 trang sau khi Apple tung ra bản sửa lỗi.

MIE không bao giờ có nghĩa là không thể bị hacker phá vỡ. Với các lỗ hổng phù hợp, nó có thể bị vượt qua. Như chúng tôi đã chứng minh trong suốt loạt bài MAD Bugs, các hệ thống AI đang ngày càng phát hiện ra nhiều lỗ hổng hơn. Điều không thể tránh khỏi là một số lỗi đó cuối cùng sẽ đủ mạnh để sống sót ngay cả trước các biện pháp giảm thiểu tiên tiến như MIE. Đây chính xác là những gì chúng tôi vừa phát hiện ra.

Công việc này là một cái nhìn thoáng qua về những gì sắp tới. Apple đã xây dựng MIE trong một thế giới chưa có Mythos Preview. Chúng tôi sắp tìm hiểu xem công nghệ giảm thiểu tốt nhất trên Trái đất sẽ chống đỡ như thế nào trong đợt "bugmageddon" AI đầu tiên.

Kết

Con tàu vũ trụ của Apple thực sự ngoạn mục như mọi người vẫn nói. Nhiều cây táo, rõ ràng là vậy. Chúng tôi muốn kiểm tra vòng lặp vô tận (Infinite Loop) nổi tiếng, nhưng sợ rằng nó có thể mất nhiều thời gian.

Chủ nhà của chúng tôi đã chia sẻ rằng Apple đã chi 5 tỷ USD để xây dựng "văn phòng" này, sau đó hỏi về văn phòng của chúng tôi. Chúng tôi nói, ừm, của chúng tôi chắc chắn tốn ít hơn 1 tỷ USD.

Nhưng đây là phần thú vị của AI. Các nhóm nhỏ đột nhiên có thể làm những việc mà trước đây cần cả một tổ chức. Với chiến lược và con người phù hợp, ngay cả một công ty nhỏ cũng có thể trở nên mạnh mẽ đến mức các công ty lớn nhất thế giới bắt đầu cầu cứu sự trợ giúp.

Người Việt chúng ta có câu, "nhỏ mà có võ".