mirror of
https://github.com/carlospolop/hacktricks
synced 2024-12-11 05:42:56 +00:00
4 KiB
4 KiB
Extensiones de Kernel de macOS
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- ¿Trabajas en una empresa de ciberseguridad? ¿Quieres ver tu empresa anunciada en HackTricks? ¿O quieres tener acceso a la última versión de PEASS o descargar HackTricks en PDF? ¡Consulta los PLANES DE SUSCRIPCIÓN!
- Descubre The PEASS Family, nuestra colección exclusiva de NFTs
- Obtén el swag oficial de PEASS y HackTricks
- Únete al 💬 grupo de Discord o al grupo de telegram o sígueme en Twitter 🐦@carlospolopm.
- Comparte tus trucos de hacking enviando PRs al repositorio de hacktricks y al repositorio de hacktricks-cloud.
Información básica
Las extensiones de kernel (Kexts) son paquetes con extensión .kext
que se cargan directamente en el espacio del kernel de macOS, proporcionando funcionalidades adicionales al sistema operativo central.
Requisitos
Obviamente, esto es tan poderoso que es complicado cargar una extensión de kernel. Estos son los requisitos que debe cumplir una extensión de kernel para ser cargada:
- Al entrar en modo de recuperación, las extensiones de kernel deben estar permitidas para ser cargadas:
- La extensión de kernel debe estar firmada con un certificado de firma de código de kernel, que solo puede ser otorgado por Apple. Quien revisará en detalle la empresa y las razones por las que se necesita.
- La extensión de kernel también debe estar notarizada, Apple podrá verificarla en busca de malware.
- Luego, el usuario root es el que puede cargar la extensión y los archivos dentro del paquete deben pertenecer a root.
- Finalmente, al intentar cargarla, el usuario recibirá una solicitud de confirmación y, si se acepta, la computadora debe reiniciarse para cargarla.
Proceso de carga
En Catalina era así: Es interesante destacar que el proceso de verificación ocurre en userland. Sin embargo, solo las aplicaciones con la concesión com.apple.private.security.kext-management
pueden solicitar al kernel que cargue una extensión: kextcache, kextload, kextutil, kextd, syspolicyd
kextutil
cli inicia el proceso de verificación para cargar una extensión- Se comunicará con
kextd
enviando un servicio Mach
- Se comunicará con
kextd
verificará varias cosas, como la firma- Se comunicará con
syspolicyd
para verificar si se puede cargar la extensión
- Se comunicará con
syspolicyd
preguntará al usuario si la extensión no se ha cargado previamentesyspolicyd
indicará el resultado akextd
kextd
finalmente podrá indicar al kernel que cargue la extensión
Si kextd no está disponible, kextutil puede realizar las mismas comprobaciones.