Εκπτωτική προσφορά πολλαπλών αδειών
Ζήτημα Ευπάθεια CVE-2024-44243 macOS

Ευπάθεια CVE-2024-44243 macOS

Μέχρι το Mezo το Ζήτημα
Μετάφραση σε:
Ελληνικά

Η Microsoft αποκάλυψε μια ευπάθεια ασφαλείας στο macOS της Apple, η οποία, εάν εκμεταλλευόταν, θα μπορούσε να είχε επιτρέψει σε έναν χάκερ με πρόσβαση root να παρακάμψει την Προστασία Ακεραιότητας Συστήματος (SIP). Αυτό το ελάττωμα θα επέτρεπε τη μη εξουσιοδοτημένη εγκατάσταση κατεστραμμένων προγραμμάτων οδήγησης πυρήνα μέσω επεκτάσεων πυρήνα τρίτου κατασκευαστή, θέτοντας σε σημαντικό κίνδυνο την ασφάλεια του συστήματος.

Τα στοιχεία του CVE-2024-44243

Η ευπάθεια, που προσδιορίστηκε ως CVE-2024-44243, είχε βαθμολογία σοβαρότητας CVSS 5,5 και κατηγοριοποιήθηκε ως ζήτημα μεσαίου κινδύνου. Η Apple αντιμετώπισε αυτό το ελάττωμα στην ενημέρωση macOS Sequoia 15.2 τον περασμένο μήνα. Η εταιρεία το περιέγραψε ως «πρόβλημα διαμόρφωσης» που θα μπορούσε να επιτρέψει σε μια μη ασφαλή εφαρμογή να τροποποιήσει προστατευμένες περιοχές του συστήματος αρχείων, αποδυναμώνοντας ουσιαστικά τις βασικές προστασίες ασφαλείας.

Οι κίνδυνοι παράκαμψης του SIP

Η Προστασία Ακεραιότητας Συστήματος, γνωστή και ως «χωρίς ρίζες», είναι ένας θεμελιώδης μηχανισμός ασφαλείας του macOS που έχει σχεδιαστεί για να αποτρέπει μη εξουσιοδοτημένες τροποποιήσεις σε κρίσιμα στοιχεία του συστήματος. Παρακάμπτοντας το SIP, οι εισβολείς θα μπορούσαν να εγκαταστήσουν επίμονες απειλές, όπως rootkit, να αποφύγουν το πλαίσιο Διαφάνειας, Συναίνεσης και Ελέγχου (TCC) της Apple και να ανοίξουν την πόρτα για περαιτέρω εκμετάλλευση.

Πώς το SIP προστατεύει το macOS

Το SIP λειτουργεί επιβάλλοντας αυστηρούς ελέγχους πρόσβασης σε βασικούς καταλόγους, συμπεριλαμβανομένων των /System, /usr, /bin, /sbin και /var. Περιορίζει τις τροποποιήσεις σε αυτές τις περιοχές μόνο σε διαδικασίες υπογεγραμμένες από την Apple με συγκεκριμένα δικαιώματα, όπως ενημερώσεις λογισμικού και προγράμματα εγκατάστασης συστήματος. Αυτή η ασφάλεια εμποδίζει τόσο τους χρήστες όσο και τους εισβολείς να παραβιάσουν τη βασική λειτουργικότητα του macOS.

Δικαιώματα SIP: Ένα δίκοπο μαχαίρι

Η Apple παρέχει δύο βασικά δικαιώματα SIP που ρυθμίζουν τις τροποποιήσεις:

  • com.apple.rootless.install : Παραχωρεί άδεια παράκαμψης των περιορισμών συστήματος αρχείων του SIP για μια συγκεκριμένη διαδικασία.
  • com.apple.rootless.install.heritable: Επεκτείνει το δικαίωμα παράκαμψης στη διεργασία και σε όλες τις θυγατρικές διεργασίες της.

Η εκμετάλλευση αυτών των δικαιωμάτων θα μπορούσε να επιτρέψει στους εισβολείς να παρακάμψουν τις προστασίες SIP, καθιστώντας το ένα κρίσιμο ζήτημα ασφάλειας.

The Exploit: Πώς οι Επιτιθέμενοι θα μπορούσαν να παρακάμψουν το SIP

Η παράκαμψη SIP που ανακαλύφθηκε πρόσφατα, παρόμοια με προηγούμενα exploit όπως το CVE-2021-30892 (Shrootless) και το CVE-2023-32369 (Ημικρανία), αξιοποιεί το δικαίωμα «com.apple.rootless.install.heritable» εντός του Storage Kitite του macOS ).

Με κατάχρηση της ικανότητας του storagekitd να εκκινεί αυθαίρετες διαδικασίες χωρίς επικύρωση, οι εισβολείς θα μπορούσαν να εισαγάγουν ένα απειλητικό πακέτο συστήματος αρχείων στο /Library/Filesystems. Αυτό θα τους επέτρεπε να παρακάμπτουν τα δυαδικά αρχεία που συνδέονται με το Disk Utility του macOS, πυροδοτώντας μια επίθεση κατά τη διάρκεια λειτουργιών όπως η επισκευή δίσκου. Επιπλέον, ένας χρήστης root θα μπορούσε να εκμεταλλευτεί αυτό το ελάττωμα για να εκτελέσει μη εξουσιοδοτημένο κώδικα, παρακάμπτοντας πλήρως τις προστασίες SIP.

Συνεχιζόμενα ευρήματα ασφαλείας της Microsoft

Αυτή η ανακάλυψη ακολουθεί την προηγούμενη αναφορά της Microsoft σχετικά με μια άλλη ευπάθεια του macOS στο πλαίσιο Διαφάνεια, συναίνεση και έλεγχος (TCC) (CVE-2024-44133, γνωστό και ως HM Surf). Αυτό το ελάττωμα, με την ίδια βαθμολογία CVSS 5,5, θα μπορούσε να είχε αξιοποιηθεί για την πρόσβαση σε ευαίσθητα δεδομένα χρήστη. Η επαναλαμβανόμενη στόχευση των μέτρων ασφαλείας του macOS υπογραμμίζει την ανάγκη για συνεχή επαγρύπνηση και επιδιόρθωση.

Η μεγαλύτερη εικόνα: Γιατί το SIP έχει σημασία

Περιορίζοντας τις επεκτάσεις πυρήνα τρίτων, η Apple ενισχύει τη σταθερότητα και την ασφάλεια του macOS. Ωστόσο, η παράκαμψη του SIP θέτει σε κίνδυνο αυτές τις προστασίες, καθιστώντας το σύστημα ευάλωτο σε προηγμένες απειλές. Εάν το SIP είναι απενεργοποιημένο, οι λύσεις ασφαλείας ενδέχεται επίσης να χάσουν την ορατότητά τους, επιτρέποντας στους εισβολείς να χειριστούν ή να απενεργοποιήσουν τα εργαλεία ασφαλείας απαρατήρητα.

Ένας πρωταρχικός στόχος για τους επιτιθέμενους

Το SIP παραμένει στόχος υψηλής αξίας τόσο για τους ερευνητές ασφάλειας όσο και για τους παράγοντες απειλών. Πολλές από τις άμυνες ασφαλείας της Apple υποθέτουν ότι το SIP δεν μπορεί να παρακαμφθεί, γεγονός που καθιστά οποιαδήποτε εκμετάλλευση μια σημαντική ανακάλυψη. Οι επιτυχείς επιθέσεις θα μπορούσαν να επιτρέψουν στους χάκερ να τοποθετήσουν κακόβουλα αρχεία σε προστατευμένους καταλόγους, να αποκρύψουν τη δραστηριότητα από τα εργαλεία ασφαλείας και να παρακάμψουν εντελώς τα μηνύματα ασφαλείας του macOS.

Παραμένοντας προστατευμένοι: Γιατί οι ενημερώσεις είναι απαραίτητες

Οι επιτιθέμενοι είναι γνωστό ότι χρησιμοποιούν τακτικές κοινωνικής μηχανικής για να χειραγωγήσουν τους χρήστες ώστε να παραχωρήσουν περιττές άδειες. Ωστόσο, μια εκμετάλλευση του SIP θα μπορούσε να εξαλείψει εντελώς την ανάγκη για αλληλεπίδραση με τον χρήστη. Δεδομένου του θεμελιώδους ρόλου του SIP στην ασφάλεια του macOS, η καλύτερη άμυνα έναντι τέτοιων τρωτών σημείων είναι να διασφαλίσουμε ότι το macOS είναι πάντα ενημερωμένο. Η εγκατάσταση των ενημερώσεων κώδικα ασφαλείας της Apple μόλις κυκλοφορήσουν είναι ο πιο αποτελεσματικός τρόπος για να αποτρέψετε τους εισβολείς από το να εκμεταλλευτούν αυτά τα ελαττώματα.

Φόρτωση...