macOS Recovery Mode Safari를 통한 루트 권한 지속성 확보 취약점 분석

Context

macOS Recovery Mode 내 Safari 브라우저의 파일 저장 권한 제어 미흡. FileVault 미설정 시스템에서 시스템 파티션에 대한 무단 쓰기 및 읽기 가능. 루트 권한의 지속성(Persistence)을 확보할 수 있는 보안 허점 존재.

Technical Solution

• Safari의 '다운로드 위치 묻기' 설정을 이용한 임의 경로 파일 저장 방식
• 비표준 Content-Type(text/text) 헤더를 사용하여 Safari의 자동 확장자 추측 기능 우회
• '다른 이름으로 저장(Save As)' 기능을 통한 확장자 없는 임의 파일 생성 및 저장
• /Library/LaunchDaemons 경로에 악성 .plist 파일을 저장하여 시스템 부팅 시 자동 실행 구조 설계
• Shift + Command + . 단축키로 숨김 파일을 노출시켜 시스템 보호 경로에 직접 접근
• macOS Tahoe 버전에서 파일 열기(Cmd+O) 차단 및 /Library, /Users 경로 접근 제한을 통한 패치 적용

Impact

• 임의 파일 쓰기 취약점 CVSS 점수 8.5
• 무제한 파일 읽기 취약점 CVSS 점수 4.6

Key Takeaway

복구 모드와 같은 특수 환경에서도 사용자 인터페이스의 설정 변경이 시스템 전역의 보안 모델을 무너뜨릴 수 있다는 설계적 허점 확인. 기본 보안 설정(FileVault 등)의 활성화 여부가 시스템 전체의 공격 표면(Attack Surface) 크기를 결정하는 핵심 요소임.