Проблемы защиты памяти и эксплойты в Macos

Знаете, что меня всегда удивляло? Мы строим небоскрёбы, отправляем зонды на Марс, но до сих пор не можем нормально защитить кусок памяти от случайной перезаписи.

Apple потратила пять лет и, вероятно, миллиарды долларов на создание MIE — Memory Integrity Enforcement, своей аппаратной системы защиты памяти. Это должно было стать концом эпохи эксплойтов типа «коррупция памяти» (memory corruption — ошибка в программе, когда данные записываются не туда, куда нужно). Но буквально на днях группа исследователей показала: первая публичная атака на ядро macOS с работающей защитой MIE уже здесь.

Что случилось

Команда из четырёх человек — Bruce Dang, Dion Blazakis, Josh Maine и ребята из Mythos Preview — построила рабочий эксплойт буквально за пять дней. Сначала баги нашли 25 апреля, к 27 апреля подключился второй исследователь, к первому мая уже был готов работающий эксплойт.

Это не какой-то теоретический концепт. Это полноценный local privilege escalation (LPE) — атака повышения привилегий: начинается с обычного пользователя без прав администратора и заканчивается полным root-доступом к системе.

АТАКА ПОВЫШЕНИЯ ПРИВИЛЕГИЙ
───────────────────────────
┌─────────────┐    ┌─────────────┐    ┌─────────────┐    ┌─────────────┐
│   Пользователь   │───▶│  Две уязвимости │───▶│ Обход MIE   │───▶│   Root shell   │
│   без прав       │    │   в ядре        │    │             │    │                 │
└─────────────┘    └───────────────────┘    └─────────────┘    └───────────────────┘

Цель: macOS 26.4.1 (25E253), чип Apple M5

Почему это важно

Давайте разберёмся, что такое MIE и почему вокруг него столько шума.

MIE — это аппаратная система безопасности Apple, построенная на ARM MTE (Memory Tagging Extension). Идея простая: каждое обращение к памяти проверяется по «тегу» — специальной метке, которая говорит: «этот кусок памяти разрешено читать/писать сюда». Если программа пытается записать данные не туда — аппаратная защита блокирует операцию.

До MIE классический эксплойт работал так: находим баг в программе → переполняем буфер → перезаписываем соседнюю память → получаем контроль над выполнением кода.

С MIE такое переполнение просто-напросто невозможно обнаружить и использовать — аппаратная защита сразу заблокирует подозрительную операцию.

Apple заявляла, что их система ломает все известные цепочки эксплойтов против современного iOS, включая недавние утечки Coruna и Darksword exploit kits.

И вот теперь этот самый «непробиваемый» барьер оказался пробит.

Как это стало возможным

Ключевую роль сыграл AI-инструмент Mythos Preview. Ребята из команды рассказывают: Mythos быстро нашёл баги, потому что они относятся к известным классам уязвимостей. Но обход MIE — это уже другая история; здесь потребовался человеческий опыт.

В этом вся суть современной работы над безопасностью: AI отлично справляется с рутинным поиском известных паттернов («найди переполнение буфера»), а вот чтобы обойти новейшую аппаратную защиту — нужны живые эксперты.

Пять дней! Напомню: речь о системе, которую Apple разрабатывала пять лет.

Что это значит для индустрии

Несколько выводов, которые мне кажутся важными:

• Защита — это процесс, а не продукт. Даже лучшая в мире аппаратная защита рано или поздно будет обойдена. Вопрос только во времени и ресурсах.
• AI меняет правила игры. Раньше для подобной работы требовались огромные команды с многолетним опытом. Теперь небольшая группа с правильными инструментами может сделать то же самое за неделю.
• Мир вступает в эру «AI bugmageddon». Авторы статьи называют это так: мир скоро узнает, как лучшая технология защиты противостоит первой волне AI-найденных багов.

Примечательно ещё вот что: команда лично приехала в Apple Park Cupertino и передала отчёт там — вместо того чтобы просто отправить через форму на сайте. Причина практичная: после Pwn2Own такие отчёты просто тонут в потоке submissions; личный визит даёт небольшое преимущество во внимании.

Выводы

Полный технический отчёт на 55 страниц обещают опубликовать после того, как Apple выпустит исправление. Учитывая бюджет команды (они запланировали только год доменной регистрации для этого проекта), ждать осталось недолго.

Мне нравится финальная фраза из оригинальной статьи: «Вьетнамцы говорят 'nhỏ mà có võ' — маленький да удаленький». Маленькие команды с правильными инструментами теперь могут то, что раньше требовало целых организаций.

Это одновременно пугает и воодушевляет.

Ссылки

• Оригинальная статья — подробности атаки на MIE
• ARM Memory Tagging Extension — описание технологии MTE