Monen lisenssin alennustarjous
Antaa CVE-2024-44243 macOS-haavoittuvuus

CVE-2024-44243 macOS-haavoittuvuus

Vuonna Mezo vuonna Antaa
Käännä:
Suomi

Microsoft on paljastanut Apple macOS:n tietoturvahaavoittuvuuden, jota käytettynä hakkeri, jolla on pääkäyttäjän oikeudet, olisi voinut ohittaa System Integrity Protection (SIP) -suojauksen. Tämä virhe olisi mahdollistanut vioittuneiden ytimen ajurien luvattoman asennuksen kolmannen osapuolen ydinlaajennusten kautta, mikä vaarantaisi merkittävästi järjestelmän turvallisuuden.

CVE-2024-44243:n tiedot

Haavoittuvuuden, joka on tunnistettu nimellä CVE-2024-44243, CVSS:n vakavuuspistemäärä oli 5,5, ja se luokiteltiin keskitason riskiksi. Apple korjasi tämän puutteen macOS Sequoia 15.2 -päivityksessä viime kuussa. Yritys kuvaili sitä "kokoonpanoongelmaksi", joka saattaa sallia vaarallisen sovelluksen muokata tiedostojärjestelmän suojattuja alueita, mikä heikentää tehokkaasti ydinturvallisuutta.

SIP:n ohituksen riskit

System Integrity Protection, joka tunnetaan myös nimellä "juuriton", on MacOS:n perusturvamekanismi, joka on suunniteltu estämään kriittisten järjestelmän osien luvattomat muutokset. Ohitamalla SIP:n hyökkääjät voivat asentaa pysyviä uhkia, kuten rootkit-paketteja, kiertää Applen Transparency, Consent, and Control (TCC) -kehyksen ja avata oven jatkohyödyntämiselle.

Kuinka SIP suojaa macOS:ää

SIP toimii valvomalla tiukkaa pääsyä tärkeisiin hakemistoihin, mukaan lukien /System, /usr, /bin, /sbin ja /var. Se rajoittaa näiden alueiden muutokset vain Applen allekirjoittamiin prosesseihin, joilla on tietyt oikeudet, kuten ohjelmistopäivitykset ja järjestelmän asentajat. Tämä suoja estää sekä käyttäjiä että hyökkääjiä muuttamasta macOS:n ydintoimintoja.

SIP-oikeudet: Kaksiteräinen miekka

Apple tarjoaa kaksi keskeistä SIP-oikeutta, jotka säätelevät muutoksia:

  • com.apple.rootless.install : Antaa luvan ohittaa SIP:n tiedostojärjestelmän rajoitukset tietylle prosessille.
  • com.apple.rootless.install.heritable: Laajentaa ohitusoikeuden prosessiin ja kaikkiin sen aliprosesseihin.

Näiden oikeuksien hyödyntäminen voi antaa hyökkääjille mahdollisuuden ohittaa SIP-suojaukset, mikä tekee siitä kriittisen turvallisuusongelman.

The Exploit: Kuinka hyökkääjät voisivat ohittaa SIP:n

Äskettäin löydetty SIP-ohitus, joka on samanlainen kuin aiemmat hyödyt, kuten CVE-2021-30892 (Shrootless) ja CVE-2023-32369 (Migraine), hyödyntää com.apple.rootless.install.heritable-oikeutta macOS:n Storage Kitd -daemonissa (storage Kitd-daemon) ).

Käyttämällä väärin storagekitd:n kykyä käynnistää mielivaltaisia prosesseja ilman vahvistusta, hyökkääjät voivat tuoda uhkaavan tiedostojärjestelmäpaketin /Library/Filesystems-kansioon. Tämä antaisi heille mahdollisuuden ohittaa macOS:n Levytyökaluun linkitetyt binaarit, mikä laukaisi hyökkäyksen toimintojen, kuten levyn korjauksen, aikana. Lisäksi pääkäyttäjä voi hyödyntää tätä virhettä suorittaakseen luvatonta koodia ja kiertämällä SIP-suojaukset kokonaan.

Microsoftin jatkuvat tietoturvahavainnot

Tämä löytö seuraa Microsoftin aiempaa raporttia toisesta macOS-haavoittuvuudesta Transparency, Consent, and Control (TCC) -kehyksessä (CVE-2024-44133, eli HM Surf). Tätä virhettä, jolla on sama CVSS-pistemäärä 5,5, olisi voitu hyödyntää arkaluonteisten käyttäjätietojen saamiseksi. MacOS-suojaustoimenpiteiden toistuva kohdistaminen korostaa jatkuvan valppauden ja korjauksen tarvetta.

Isompi kuva: Miksi SIP on tärkeä

Rajoittamalla kolmannen osapuolen ydinlaajennuksia Apple parantaa macOS:n vakautta ja turvallisuutta. SIP:n ohittaminen kuitenkin vaarantaa nämä suojaukset ja tekee järjestelmästä alttiin kehittyneille uhille. Jos SIP on poistettu käytöstä, tietoturvaratkaisut voivat myös menettää näkyvyyden, jolloin hyökkääjät voivat käsitellä tietoturvatyökaluja tai poistaa ne käytöstä huomaamatta.

Ensisijainen kohde hyökkääjille

SIP on edelleen arvokas kohde niin tietoturvatutkijoille kuin uhkatoimijoillekin. Monet Applen suojauskeinot olettavat, että SIP:tä ei voida ohittaa, mikä tekee kaikista hyväksikäytöistä merkittävän läpimurron. Onnistuneet hyökkäykset voivat antaa hakkereille mahdollisuuden sijoittaa haitallisia tiedostoja suojattuihin hakemistoihin, piilottaa toimintaa suojaustyökaluilta ja ohittaa macOS-tietoturvakehotteet kokonaan.

Pysy suojattuna: Miksi päivitykset ovat välttämättömiä

Hyökkääjien tiedetään käyttävän manipulointitaktiikoita manipuloidakseen käyttäjiä myöntämään tarpeettomia käyttöoikeuksia. SIP:n hyödyntäminen voisi kuitenkin poistaa käyttäjän vuorovaikutuksen tarpeen kokonaan. Koska SIP:llä on perusrooli macOS-turvallisuudessa, paras suoja tällaisia haavoittuvuuksia vastaan on varmistaa, että macOS on aina ajan tasalla. Applen tietoturvakorjausten asentaminen heti niiden julkaisun jälkeen on tehokkain tapa estää hyökkääjiä hyödyntämästä näitä puutteita.

Ladataan...