Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
 

Возможность получения паролей из Keychain

Keychain - это встроенный в macOS способ отслеживания паролей и учетных данных пользователей для многих сервисов и функций, таких как пароли Wi-Fi, веб-сайты, защищенные заметки, сертификаты и Kerberos.
Файлы Keychain находятся в:
~/Library/Keychains/,/Library/Keychains/
/Network/Library/Keychains/
Пароли, хранящиеся в Keychain многократно зашифрованы с помощью набора взаимозашифрованных ключей. Таким образом, для чтения первого пароля в пользовательской цепочке паролей необходим его пароль для входа или мастер-ключ. Обработка операций с keychain осуществляется процессом securityd, для этого в его памяти хранится мастер-ключ.
В OS X до El Capitan пользователи с доступом root могли читать Keychain в виде открытого текста вошедших в систему пользователей, поскольку реализация Keychain Apple позволяет кэшировать эти учетные данные, чтобы пользователи не получали повторных запросов на ввод паролей.
Злоумышленник обладая root правами может сканировать память с целью поиска мастер-ключа цепочки keychain и поэтапно расшифровав всю последовательность паролей пользователя для получить все используемые пароли.
Если злоумышленник знает учетные данные для Keychain, то он может получить доступ ко всем другим учетным данным, хранящимся в этом хранилище.

Каталоги угроз

БДУ ФСТЭК:
УБИ.074 Угроза несанкционированного доступа к аутентификационной информации
Угроза заключается в возможности извлечения паролей, имён пользователей или других учётных данных из оперативной памяти компьюте...
Техники ATT@CK:
T1555.001 Credentials from Password Stores: Keychain
Adversaries may collect the keychain storage data from a system to acquire credentials. Keychains are the built-in way for macOS...
T1555.002 Credentials from Password Stores: Securityd Memory
An adversary may obtain root access (allowing them to read securityd’s memory), then they can scan through memory to find the co...

Связанные риски