Cotització de descompte per a múltiples llicències
Problema Vulnerabilitat de macOS CVE-2024-44243

Vulnerabilitat de macOS CVE-2024-44243

El Mezo el Problema
Traduir a:
Català

Microsoft ha revelat una vulnerabilitat de seguretat a macOS d'Apple que, si s'aprofités, podria haver permès que un pirata informàtic amb accés root obviés la protecció d'integritat del sistema (SIP). Aquest defecte hauria permès la instal·lació no autoritzada de controladors del nucli danyats mitjançant extensions del nucli de tercers, comprometent significativament la seguretat del sistema.

Els detalls de CVE-2024-44243

La vulnerabilitat, identificada com a CVE-2024-44243, tenia una puntuació de gravetat CVSS de 5,5 i es va classificar com a problema de risc mitjà. Apple va solucionar aquest defecte a l'actualització de macOS Sequoia 15.2 el mes passat. L'empresa ho va descriure com un "problema de configuració" que podria permetre que una aplicació no segura modifiqui àrees protegides del sistema de fitxers, debilitant de manera efectiva les proteccions de seguretat bàsiques.

Els riscos de saltar SIP

La protecció d'integritat del sistema, també coneguda com a "sense arrel", és un mecanisme de seguretat fonamental de macOS dissenyat per evitar modificacions no autoritzades als components crítics del sistema. Evitant SIP, els atacants podrien instal·lar amenaces persistents com ara rootkits, eludir el marc de transparència, consentiment i control (TCC) d'Apple i obrir la porta a una major explotació.

Com SIP protegeix macOS

SIP funciona imposant controls d'accés estrictes als directoris essencials, inclosos /System, /usr, /bin, /sbin i /var. Limita les modificacions a aquestes àrees només als processos signats per Apple amb drets específics, com ara actualitzacions de programari i instal·ladors del sistema. Aquesta salvaguarda evita que tant els usuaris com els atacants manipulin la funcionalitat bàsica de macOS.

Drets SIP: una espasa de doble tall

Apple ofereix dos drets SIP clau que regulen les modificacions:

  • com.apple.rootless.install : atorga permís per saltar les restriccions del sistema de fitxers de SIP per a un procés específic.
  • com.apple.rootless.install.heritable: amplia el permís de bypass al procés i a tots els seus processos fills.

L'explotació d'aquests drets podria permetre als atacants anul·lar les proteccions SIP, cosa que la converteix en una preocupació de seguretat crítica.

L'explotació: com els atacants podrien evitar SIP

El bypass SIP recentment descobert, semblant a exploits anteriors com CVE-2021-30892 (Shrootless) i CVE-2023-32369 (Migraine), aprofita el dret "com.apple.rootless.install.heritable" dins del dimoni del kit d'emmagatzematge de macOS (storagekitd). ).

Abusant de la capacitat de storagekitd per llançar processos arbitraris sense validació, els atacants podrien introduir un paquet de sistema de fitxers amenaçador a /Library/Filesystems. Això els permetria anul·lar els binaris vinculats a la Utilitat de disc de macOS, provocant un atac durant operacions com la reparació de discs. A més, un usuari root podria explotar aquest defecte per executar codi no autoritzat, eludint completament les proteccions SIP.

Contínues troballes de seguretat de Microsoft

Aquest descobriment segueix l'informe anterior de Microsoft sobre una altra vulnerabilitat de macOS al marc de transparència, consentiment i control (TCC) (CVE-2024-44133, també conegut com HM Surf). Aquest defecte, amb la mateixa puntuació CVSS de 5,5, podria haver-se aprofitat per accedir a dades sensibles dels usuaris. L'orientació repetida de les mesures de seguretat de macOS posa de manifest la necessitat d'una vigilància i pedaços contínues.

La imatge més gran: per què importa SIP

En restringir les extensions del nucli de tercers, Apple millora l'estabilitat i la seguretat de macOS. Tanmateix, eludir SIP compromet aquestes proteccions, fent que el sistema sigui vulnerable a amenaces avançades. Si SIP està desactivat, les solucions de seguretat també poden perdre visibilitat, permetent als atacants manipular o desactivar les eines de seguretat desapercebudes.

Un objectiu principal per als atacants

SIP continua sent un objectiu d'alt valor tant per als investigadors de seguretat com per als actors de les amenaces. Moltes de les defenses de seguretat d'Apple assumeixen que SIP no es pot obviar, fent que qualsevol explotació sigui un avenç important. Els atacs reeixits podrien permetre als pirates informàtics col·locar fitxers maliciosos en directoris protegits, amagar l'activitat de les eines de seguretat i evitar completament les indicacions de seguretat de macOS.

Mantenir-se protegit: per què les actualitzacions són essencials

Se sap que els atacants utilitzen tàctiques d'enginyeria social per manipular els usuaris perquè concedeixin permisos innecessaris. Tanmateix, una explotació de SIP podria eliminar completament la necessitat d'interacció de l'usuari. Tenint en compte el paper fonamental de SIP en la seguretat de macOS, la millor defensa contra aquestes vulnerabilitats és garantir que macOS estigui sempre actualitzat. La instal·lació dels pedaços de seguretat d'Apple tan aviat com s'alliberin és la forma més eficaç d'evitar que els atacants explotin aquests defectes.

Carregant...