ثغرة CVE-2024-44243 في نظام التشغيل macOS

كشفت شركة مايكروسوفت عن ثغرة أمنية في نظام التشغيل ماك من إنتاج شركة آبل، والتي إذا تم استغلالها، قد تسمح لمخترق لديه حق الوصول إلى الجذر بتجاوز حماية سلامة النظام (SIP). كان من شأن هذه الثغرة أن تتيح التثبيت غير المصرح به لبرامج تشغيل نواة تالفة من خلال ملحقات نواة تابعة لجهات خارجية، مما يعرض أمان النظام للخطر بشكل كبير.

تفاصيل CVE-2024-44243

تم تحديد الثغرة الأمنية باسم CVE-2024-44243، وبلغت درجة خطورتها 5.5 وفقًا لمعايير CVSS، وتم تصنيفها على أنها مشكلة متوسطة الخطورة. وقد عالجت شركة Apple هذا الخلل في تحديث macOS Sequoia 15.2 الشهر الماضي. ووصفته الشركة بأنه "مشكلة في التكوين" يمكن أن تسمح لتطبيق غير آمن بتعديل المناطق المحمية من نظام الملفات، مما يؤدي فعليًا إلى إضعاف حماية الأمان الأساسية.

مخاطر تجاوز بروتوكول SIP

تُعرف حماية سلامة النظام أيضًا باسم "بدون جذر"، وهي آلية أمان أساسية لنظام التشغيل macOS مصممة لمنع التعديلات غير المصرح بها على مكونات النظام المهمة. من خلال تجاوز بروتوكول SIP، يمكن للمهاجمين تثبيت تهديدات مستمرة مثل أدوات الجذر، والتهرب من إطار الشفافية والموافقة والتحكم (TCC) الخاص بشركة Apple وفتح الباب لمزيد من الاستغلال.

كيف يحمي بروتوكول SIP نظام macOS

يعمل بروتوكول SIP من خلال فرض ضوابط وصول صارمة على الدلائل الأساسية، بما في ذلك /System و/usr و/bin و/sbin و/var. ويقتصر التعديل على هذه المناطق على العمليات الموقعة من قِبل Apple فقط والتي تتمتع بصلاحيات محددة، مثل تحديثات البرامج ومثبتات النظام. ويمنع هذا الضمان المستخدمين والمهاجمين من التلاعب بالوظائف الأساسية لنظام التشغيل macOS.

حقوق SIP: سلاح ذو حدين

توفر Apple اثنين من حقوق SIP الرئيسية التي تنظم التعديلات:

• com.apple.rootless.install : يمنح الإذن لتجاوز قيود نظام ملفات SIP لعملية محددة.
• com.apple.rootless.install.heritable: يمتد إذن التجاوز إلى العملية وجميع العمليات الفرعية الخاصة بها.

إن استغلال هذه الحقوق قد يسمح للمهاجمين بتجاوز حماية SIP، مما يجعلها مصدر قلق أمني بالغ الأهمية.

الثغرة: كيف يمكن للمهاجمين تجاوز بروتوكول SIP

يعمل تجاوز SIP المكتشف حديثًا، على غرار الثغرات الأمنية السابقة مثل CVE-2021-30892 (Shrootless) وCVE-2023-32369 (Migraine)، على استغلال الحق "com.apple.rootless.install.heritable" داخل برنامج Storage Kit الخاص بـ macOS (storagekitd).

من خلال إساءة استخدام قدرة storagekitd على تشغيل عمليات عشوائية دون التحقق من صحتها، يمكن للمهاجمين إدخال حزمة نظام ملفات تهديدية في /Library/Filesystems. وهذا من شأنه أن يسمح لهم بتجاوز الثنائيات المرتبطة بأداة القرص في نظام التشغيل macOS، مما يؤدي إلى إطلاق هجوم أثناء عمليات مثل إصلاح القرص. بالإضافة إلى ذلك، يمكن لمستخدم الجذر استغلال هذا الخلل لتنفيذ تعليمات برمجية غير مصرح بها، والالتفاف على حماية SIP بالكامل.

استمرار مايكروسوفت في تحقيق نتائج أمنية

يأتي هذا الاكتشاف في أعقاب تقرير سابق أصدرته شركة Microsoft حول ثغرة أخرى في نظام macOS في إطار الشفافية والموافقة والتحكم (TCC) (CVE-2024-44133، المعروف أيضًا باسم HM Surf). كان من الممكن استغلال هذه الثغرة، التي حصلت على نفس درجة CVSS 5.5، للوصول إلى بيانات المستخدم الحساسة. ويسلط الاستهداف المتكرر لتدابير أمان macOS الضوء على الحاجة إلى اليقظة المستمرة والتصحيح.

الصورة الأكبر: لماذا يعد بروتوكول SIP مهمًا

من خلال تقييد ملحقات نواة الطرف الثالث، تعمل Apple على تعزيز استقرار وأمان نظام macOS. ومع ذلك، فإن تجاوز بروتوكول SIP يعرض هذه الحماية للخطر، مما يجعل النظام عرضة للتهديدات المتقدمة. إذا تم تعطيل بروتوكول SIP، فقد تفقد حلول الأمان أيضًا الرؤية، مما يسمح للمهاجمين بالتلاعب بأدوات الأمان أو تعطيلها دون أن يلاحظهم أحد.

هدف رئيسي للمهاجمين

يظل بروتوكول SIP هدفًا ذا قيمة عالية للباحثين الأمنيين والجهات الفاعلة في مجال التهديدات على حد سواء. تفترض العديد من دفاعات أمان Apple أنه لا يمكن تجاوز بروتوكول SIP، مما يجعل أي استغلال اختراقًا كبيرًا. يمكن أن تسمح الهجمات الناجحة للمتسللين بوضع ملفات ضارة في أدلة محمية وإخفاء النشاط عن أدوات الأمان وتجاوز مطالبات أمان macOS بالكامل.

البقاء محميًا: لماذا تعد التحديثات ضرورية

من المعروف أن المهاجمين يستخدمون تكتيكات الهندسة الاجتماعية للتلاعب بالمستخدمين لحملهم على منح أذونات غير ضرورية. ومع ذلك، فإن استغلال بروتوكول SIP قد يلغي الحاجة إلى تفاعل المستخدم تمامًا. ونظرًا للدور الأساسي الذي يلعبه بروتوكول SIP في أمان نظام التشغيل macOS، فإن أفضل دفاع ضد مثل هذه الثغرات الأمنية هو ضمان تحديث نظام التشغيل macOS دائمًا. يعد تثبيت تصحيحات أمان Apple بمجرد إصدارها الطريقة الأكثر فعالية لمنع المهاجمين من استغلال هذه العيوب.