Карточка риска

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Угроза

Раскрытие ключей (паролей) доступа

из-за уязвимости

Возможность получения паролей из Keychain

в Активе

ОС macOS

Описание уязвимости

Keychain - это встроенный в macOS способ отслеживания паролей и учетных данных пользователей для многих сервисов и функций, таких как пароли Wi-Fi, веб-сайты, защищенные заметки, сертификаты и Kerberos.
Файлы Keychain находятся в:

~/Library/Keychains/,/Library/Keychains/
/Network/Library/Keychains/

Пароли, хранящиеся в Keychain многократно зашифрованы с помощью набора взаимозашифрованных ключей. Таким образом, для чтения первого пароля в пользовательской цепочке паролей необходим его пароль для входа или мастер-ключ. Обработка операций с keychain осуществляется процессом securityd, для этого в его памяти хранится мастер-ключ.
В OS X до El Capitan пользователи с доступом root могли читать Keychain в виде открытого текста вошедших в систему пользователей, поскольку реализация Keychain Apple позволяет кэшировать эти учетные данные, чтобы пользователи не получали повторных запросов на ввод паролей.
Злоумышленник обладая root правами может сканировать память с целью поиска мастер-ключа цепочки keychain и поэтапно расшифровав всю последовательность паролей пользователя для получить все используемые пароли.
Если злоумышленник знает учетные данные для Keychain, то он может получить доступ ко всем другим учетным данным, хранящимся в этом хранилище.