CVE-2024-44243 macOS-sårbarhed
Microsoft har afsløret en sikkerhedssårbarhed i Apple macOS, som, hvis den blev udnyttet, kunne have givet en hacker med root-adgang mulighed for at omgå System Integrity Protection (SIP). Denne fejl ville have muliggjort uautoriseret installation af beskadigede kernedrivere gennem tredjeparts kerneudvidelser, hvilket væsentligt kompromitterede systemsikkerheden.
Indholdsfortegnelse
Detaljerne i CVE-2024-44243
Sårbarheden, identificeret som CVE-2024-44243, havde en CVSS-sværhedsscore på 5,5 og blev kategoriseret som et problem med middel risiko. Apple løste denne fejl i macOS Sequoia 15.2-opdateringen i sidste måned. Virksomheden beskrev det som et 'konfigurationsproblem', der kunne tillade en usikker applikation at ændre beskyttede områder af filsystemet, hvilket effektivt svækkede kernesikkerhedsbeskyttelsen.
Risikoen ved at omgå SIP
Systemintegritetsbeskyttelse, også kendt som 'rodløs', er en grundlæggende macOS-sikkerhedsmekanisme designet til at forhindre uautoriserede ændringer af kritiske systemkomponenter. Ved at omgå SIP kan angribere installere vedvarende trusler såsom rootkits, unddrage sig Apples Transparency, Consent, and Control (TCC)-ramme og åbne døren for yderligere udnyttelse.
Hvordan SIP beskytter macOS
SIP fungerer ved at håndhæve streng adgangskontrol over væsentlige mapper, inklusive /System, /usr, /bin, /sbin og /var. Det begrænser ændringer til disse områder til kun Apple-signerede processer med specifikke rettigheder, såsom softwareopdateringer og systeminstallationsprogrammer. Denne beskyttelse forhindrer både brugere og angribere i at manipulere med macOS's kernefunktionalitet.
SIP-rettigheder: Et tveægget sværd
Apple leverer to vigtige SIP-rettigheder, der regulerer ændringer:
- com.apple.rootless.install : Giver tilladelse til at omgå SIPs filsystembegrænsninger for en bestemt proces.
- com.apple.rootless.install.heritable: Udvider bypass-tilladelsen til processen og alle dens underordnede processer.
Udnyttelse af disse rettigheder kan gøre det muligt for hackere at tilsidesætte SIP-beskyttelser, hvilket gør det til et kritisk sikkerhedsproblem.
Udnyttelsen: Hvordan angribere kunne omgå SIP
Den nyopdagede SIP-bypass, der ligner tidligere udnyttelser som CVE-2021-30892 (Shrootless) og CVE-2023-32369 (Migræne), udnytter 'com.apple.rootless.install.heritable'-retten i macOS's Storage Kit-dæmon (storagekitd) ).
Ved at misbruge storagekitds evne til at starte vilkårlige processer uden validering, kunne angribere introducere en truende filsystembundt i /Library/Filesystems. Dette ville give dem mulighed for at tilsidesætte binære filer, der er knyttet til macOS's Diskværktøj, hvilket udløser et angreb under operationer som diskreparation. Derudover kunne en root-bruger udnytte denne fejl til at udføre uautoriseret kode og helt omgå SIP-beskyttelse.
Microsofts fortsatte sikkerhedsfund
Denne opdagelse følger Microsofts tidligere rapport om en anden macOS-sårbarhed i Transparency, Consent, and Control (TCC) frameworket (CVE-2024-44133, aka HM Surf). Denne fejl, med den samme CVSS-score på 5,5, kunne have været udnyttet til at få adgang til følsomme brugerdata. Den gentagne målretning af macOS-sikkerhedsforanstaltninger fremhæver behovet for kontinuerlig årvågenhed og patching.
Det større billede: Hvorfor SIP betyder noget
Ved at begrænse tredjeparts kerneudvidelser forbedrer Apple macOS stabilitet og sikkerhed. Men at omgå SIP kompromitterer disse beskyttelser, hvilket gør systemet sårbart over for avancerede trusler. Hvis SIP er deaktiveret, kan sikkerhedsløsninger også miste synlighed, hvilket gør det muligt for hackere at manipulere eller deaktivere sikkerhedsværktøjer ubemærket.
Et primært mål for angribere
SIP er fortsat et værdifuldt mål for sikkerhedsforskere og trusselsaktører. Mange af Apples sikkerhedsforsvar antager, at SIP ikke kan omgås, hvilket gør enhver udnyttelse til et betydeligt gennembrud. Vellykkede angreb kan give hackere mulighed for at placere ondsindede filer i beskyttede mapper, skjule aktivitet fra sikkerhedsværktøjer og helt omgå macOS-sikkerhedsprompter.
Forbliv beskyttet: Hvorfor opdateringer er vigtige
Angribere er kendt for at bruge social engineering taktik til at manipulere brugere til at give unødvendige tilladelser. En udnyttelse af SIP kan dog helt eliminere behovet for brugerinteraktion. I betragtning af SIPs grundlæggende rolle i macOS-sikkerhed er det bedste forsvar mod sådanne sårbarheder at sikre, at macOS altid er opdateret. Installation af Apples sikkerhedsrettelser, så snart de er frigivet, er den mest effektive måde at forhindre angribere i at udnytte disse fejl.