Nguy cơ Bảo mật khi khai thác Rosetta 2 trên macOS Apple Silicon

08/03/2025
2 mins read

Bài viết từ Cybersecurity News thảo luận về việc khai thác các nhị phân x86-64 trên các hệ thống macOS Apple Silicon (ARM64) thông qua công nghệ dịch Rosetta 2 của Apple. Dưới đây là các điểm chính:

  1. Khai thác Rosetta 2:
    • Tội phạm mạng đang khai thác một lỗ hổng bảo mật trong Rosetta 2 để triển khai mã độc dựa trên Intel trên Apple Silicon mà không bị phát hiện.
    • Kỹ thuật này vượt qua các biện pháp bảo mật nghiêm ngặt hơn được áp dụng cho các ứng dụng ARM64, cho phép mã độc x86-64 không ký hoặc tự ký chạy với ít hạn chế hơn.
  2. Ý nghĩa bảo mật:
    • Rosetta 2 dịch các nhị phân x86-64 thành các tệp đã được lưu cache Ahead-Of-Time (AOT) mà hệ thống có thể thực thi, tạo ra một điểm mù bảo mật.
    • Các nhị phân ARM64 phải tuân thủ các yêu cầu ký mã nghiêm ngặt hơn và chính sách thực thi, trong khi các nhị phân x86-64 chạy dưới Rosetta 2 không phải chịu những hạn chế tương tự.
  3. Chứng cứ pháp y:
    • Các tệp AOT được tạo ra bởi Rosetta 2 vẫn tồn tại trong bộ nhớ cache của hệ thống ngay cả khi kẻ tấn công xóa mã độc ban đầu, cung cấp chứng cứ pháp y quý giá cho các cuộc điều tra kỹ thuật số.
    • Các nhà nghiên cứu của Mandiant đã xác định rằng ngay cả khi kẻ tấn công xóa mã độc của họ, dấu vết của cuộc tấn công có thể được phục hồi từ bộ nhớ cache của Rosetta 2, tọa lạc tại /var/db/oah//.
  4. Các tác nhân đe dọa:
    • Các tác nhân đe dọa tinh vi, bao gồm các nhóm của Triều Tiên, đang đặc biệt chọn kiến trúc x86-64 do tính tương thích rộng rãi hơn và các chính sách thực thi lỏng lẻo hơn so với các nhị phân ARM64.
    • Một vụ việc liên quan đến mã độc backdoor POOLRAT macOS đã được nêu bật, nơi kẻ tấn công thực thi các lệnh hệ thống phổ quát (ping, chmod, sudo, id) thông qua Rosetta 2, vượt qua các kiểm tra bảo mật nghiêm ngặt hơn của ARM64.
  5. Khuyến nghị bảo mật:
    • Để giảm thiểu các rủi ro do việc khai thác Rosetta 2, người dùng macOS và các đội ngũ bảo mật nên hạn chế việc thực thi các nhị phân x86-64, theo dõi các hiện vật của Rosetta 2, phân tích Unified Logs và FSEvents, đảm bảo Bảo vệ toàn vẹn hệ thống (SIP) vẫn được bật, và sử dụng các giải pháp bảo mật có thể phát hiện mã độc x86-64.

Các điểm trên tóm tắt các khía cạnh chính về cách các nhị phân x86-64 đang bị khai thác trên các hệ thống macOS Apple Silicon thông qua Rosetta 2 và các tác động đối với bảo mật.

Tags