Mitme litsentsi allahindluspakkumine
probleem CVE-2024-44243 macOS-i haavatavus

CVE-2024-44243 macOS-i haavatavus

Aastaks Mezo aastal probleem
Tõlgi:
Eesti

Microsoft on paljastanud Apple macOS-i turvaauku, mille ärakasutamine oleks võinud võimaldada juurjuurdepääsuga häkkeril süsteemi terviklikkuse kaitsest (SIP) mööda minna. See viga oleks võimaldanud rikutud tuumadraiverite volitamata installimist kolmanda osapoole tuumalaiendite kaudu, mis oleks oluliselt ohustanud süsteemi turvalisust.

CVE-2024-44243 üksikasjad

Haavatavuse CVE-2024-44243 CVSS-i raskusskoor oli 5,5 ja see liigitati keskmise riskiga probleemiks. Apple kõrvaldas selle vea eelmisel kuul MacOS Sequoia 15.2 värskenduses. Ettevõte kirjeldas seda kui "konfiguratsiooniprobleemi", mis võib lubada ebaturvalisel rakendusel failisüsteemi kaitstud alasid muuta, nõrgendades tõhusalt põhiturbekaitset.

SIP-ist möödahiilimise riskid

Süsteemi terviklikkuse kaitse, tuntud ka kui juurteta, on MacOS-i põhiline turbemehhanism, mis on loodud kriitiliste süsteemikomponentide volitamata muutmise vältimiseks. SIP-ist mööda minnes võivad ründajad installida püsivaid ohte, nagu juurkomplektid, hiilida kõrvale Apple'i läbipaistvuse, nõusoleku ja kontrolli (TCC) raamistikust ja avada ukse edasiseks ärakasutamiseks.

Kuidas SIP kaitseb macOS-i

SIP töötab, kehtestades olulistele kataloogidele, sealhulgas /System, /usr, /bin, /sbin ja /var, ranged juurdepääsukontrollid. See piirab nende piirkondade muudatusi ainult Apple'i allkirjastatud protsessidega, millel on konkreetsed õigused, nagu tarkvaravärskendused ja süsteemi installijad. See kaitsemeede takistab nii kasutajatel kui ka ründajatel macOS-i põhifunktsioone rikkumast.

SIP-õigused: kahe teraga mõõk

Apple pakub kahte peamist SIP-õigust, mis reguleerivad muudatusi:

  • com.apple.rootless.install : annab loa SIP-i failisüsteemi piirangutest mööda minna konkreetse protsessi jaoks.
  • com.apple.rootless.install.heritable: laiendab möödaviimise luba protsessile ja kõigile selle alamprotsessidele.

Nende õiguste kasutamine võib võimaldada ründajatel SIP-kaitse alistada, muutes selle kriitiliseks turvaprobleemiks.

Ärakasutamine: kuidas ründajad saaksid SIP-ist mööda minna

Äsja avastatud SIP-i ümbersõit, mis sarnaneb varasemate rünnakutega, nagu CVE-2021-30892 (Shrootless) ja CVE-2023-32369 (migreen), kasutab macOS-i Storage Kitd deemonis (storage kitd) õigust com.apple.rootless.install.heritable. ).

Kuritarvitades Storagekitdi võimet käivitada suvalisi protsesse ilma valideerimiseta, võivad ründajad sisestada kausta /Library/Filesystems ähvardava failisüsteemi paketi. See võimaldaks neil alistada macOS-i kettautiliidiga seotud binaarfailid, käivitades rünnaku selliste toimingute ajal nagu kettaparandus. Lisaks võib juurkasutaja seda viga ära kasutada volitamata koodi käivitamiseks, vältides täielikult SIP-kaitset.

Microsofti jätkuvad turvatulemused

See avastus järgneb Microsofti varasemale aruandele teise macOS-i haavatavuse kohta läbipaistvuse, nõusoleku ja kontrolli (TCC) raamistikus (CVE-2024-44133, teise nimega HM Surf). Seda viga, mille CVSS-i skoor oli 5,5, oleks võinud ära kasutada tundlikele kasutajaandmetele juurde pääsemiseks. MacOS-i turvameetmete korduv sihtimine tõstab esile vajaduse pideva valvsuse ja paikade järele.

Suurem pilt: miks SIP on oluline

Kolmandate osapoolte tuumalaiendeid piirates suurendab Apple macOS-i stabiilsust ja turvalisust. SIP-ist mööda hiilimine seab aga need kaitsed ohtu, muutes süsteemi arenenud ohtude suhtes haavatavaks. Kui SIP on keelatud, võivad turvalahendused kaotada nähtavuse, võimaldades ründajatel turvatööriistu märkamatult manipuleerida või keelata.

Peamine sihtmärk ründajatele

SIP on nii turvauurijate kui ka ohus osalejate jaoks endiselt väärtuslik sihtmärk. Paljud Apple'i turvameetmed eeldavad, et SIP-st ei saa mööda minna, muutes igasuguse ärakasutamise oluliseks läbimurdeks. Edukad rünnakud võivad võimaldada häkkeritel paigutada pahatahtlikud failid kaitstud kataloogidesse, peita tegevust turvatööriistade eest ja mööduda täielikult MacOS-i turvaviipadest.

Kaitstud olemine: miks on värskendused hädavajalikud

Teadaolevalt kasutavad ründajad sotsiaalse manipuleerimise taktikat, et manipuleerida kasutajatega tarbetuid lubasid andma. SIP-i ärakasutamine võib aga kasutaja interaktsiooni vajaduse täielikult kaotada. Arvestades SIP-i põhirolli macOS-i turvalisuses, on parim kaitse selliste haavatavuste vastu tagada, et macOS on alati ajakohane. Apple'i turvapaikade installimine kohe pärast nende vabastamist on kõige tõhusam viis takistada ründajatel neid vigu ära kasutamast.

Laadimine...