CVE-2024-44243 Уязвимост на macOS
Microsoft разкри уязвимост в сигурността на Apple macOS, която, ако бъде експлоатирана, би могла да позволи на хакер с root достъп да заобиколи System Integrity Protection (SIP). Този пропуск би позволил неоторизирано инсталиране на повредени драйвери на ядрото чрез разширения на ядрото на трети страни, което значително компрометира сигурността на системата.
Съдържание
Подробностите за CVE-2024-44243
Уязвимостта, идентифицирана като CVE-2024-44243, носи оценка на сериозност на CVSS от 5,5 и е категоризирана като проблем със среден риск. Apple адресира този недостатък в актуализацията на macOS Sequoia 15.2 миналия месец. Компанията го описа като „проблем с конфигурацията“, който може да позволи на опасно приложение да модифицира защитени зони на файловата система, което ефективно отслабва основните защити на сигурността.
Рисковете от заобикалянето на SIP
Защитата на системната цялост, известна още като „без корен“, е основен механизъм за сигурност на macOS, предназначен да предотвратява неупълномощени модификации на критични системни компоненти. Чрез заобикаляне на SIP, атакуващите биха могли да инсталират постоянни заплахи като руткитове, да избегнат рамката за прозрачност, съгласие и контрол (TCC) на Apple и да отворят вратата за по-нататъшна експлоатация.
Как SIP защитава macOS
SIP работи, като налага строг контрол на достъпа до основните директории, включително /System, /usr, /bin, /sbin и /var. Той ограничава модификациите на тези области само до подписани от Apple процеси със специфични права, като софтуерни актуализации и системни инсталатори. Тази предпазна мярка не позволява както на потребителите, така и на атакуващите да се намесят в основната функционалност на macOS.
SIP права: нож с две остриета
Apple предоставя две ключови SIP права, които регулират модификациите:
- com.apple.rootless.install : Предоставя разрешение за заобикаляне на ограниченията на файловата система на SIP за конкретен процес.
- com.apple.rootless.install.heritable: Разширява разрешението за заобикаляне на процеса и всички негови дъщерни процеси.
Използването на тези права може да позволи на нападателите да заменят SIP защитите, което го прави критичен проблем за сигурността.
Експлойтът: Как нападателите могат да заобиколят SIP
Новооткритият SIP байпас, подобно на минали експлойти като CVE-2021-30892 (Shrootless) и CVE-2023-32369 (Migraine), използва правото „com.apple.rootless.install.heritable“ в демона на комплекта за съхранение на macOS (storagekitd ).
Чрез злоупотреба със способността на storagekitd да стартира произволни процеси без проверка, нападателите могат да въведат заплашителен пакет от файлови системи в /Library/Filesystems. Това би им позволило да заменят двоичните файлове, свързани с Disk Utility на macOS, задействайки атака по време на операции като ремонт на диск. Освен това root потребител може да използва този пропуск, за да изпълни неоторизиран код, заобикаляйки изцяло SIP защитите.
Продължаващите констатации за сигурността на Microsoft
Това откритие следва по-ранния доклад на Microsoft за друга уязвимост на macOS в рамката за прозрачност, съгласие и контрол (TCC) (CVE-2024-44133, известна още като HM Surf). Този недостатък, със същия CVSS резултат от 5,5, може да бъде използван за достъп до чувствителни потребителски данни. Многократното насочване на мерките за сигурност на macOS подчертава необходимостта от непрекъсната бдителност и корекции.
По-голямата картина: Защо SIP има значение
Като ограничава разширенията на ядрото на трети страни, Apple подобрява стабилността и сигурността на macOS. Заобикалянето на SIP обаче компрометира тези защити, което прави системата уязвима за напреднали заплахи. Ако SIP е деактивиран, решенията за сигурност също могат да загубят видимост, позволявайки на нападателите да манипулират или деактивират инструментите за сигурност незабелязано.
Основна цел за нападатели
SIP остава цел с висока стойност както за изследователите на сигурността, така и за участниците в заплахи. Много от защитите на сигурността на Apple предполагат, че SIP не може да бъде заобиколен, което прави всеки експлойт значителен пробив. Успешните атаки биха могли да позволят на хакерите да поставят злонамерени файлове в защитени директории, да скрият дейността от инструменти за сигурност и да заобиколят изцяло подканите за сигурност на macOS.
Да останем защитени: Защо актуализациите са от съществено значение
Известно е, че нападателите използват тактики за социално инженерство, за да манипулират потребителите да предоставят ненужни разрешения. Експлойтът на SIP обаче може напълно да елиминира необходимостта от взаимодействие с потребителя. Като се има предвид фундаменталната роля на SIP в сигурността на macOS, най-добрата защита срещу такива уязвимости е да се гарантира, че macOS е винаги актуална. Инсталирането на корекциите за сигурност на Apple веднага след пускането им е най-ефективният начин да попречите на нападателите да се възползват от тези пропуски.