פגיעות CVE-2024-44243 macOS

מיקרוסופט חשפה פגיעות אבטחה ב-Apple macOS, שאם ניצלה, הייתה יכולה לאפשר להאקר עם גישת שורש לעקוף את הגנת שלמות המערכת (SIP). פגם זה היה מאפשר התקנה לא מורשית של מנהלי התקנים של ליבה פגומים באמצעות הרחבות ליבה של צד שלישי, מה שפוגע משמעותית באבטחת המערכת.

הפרטים של CVE-2024-44243

הפגיעות, שזוהתה כ-CVE-2024-44243, נשאה ציון חומרת CVSS של 5.5 וסווגה כבעיה בסיכון בינוני. אפל טיפלה בפגם זה בעדכון macOS Sequoia 15.2 בחודש שעבר. החברה תיארה זאת כ'בעיית תצורה' שעלולה לאפשר לאפליקציה לא בטוחה לשנות אזורים מוגנים של מערכת הקבצים, ולמעשה להחליש את הגנות האבטחה המרכזיות.

הסיכונים של עקיפת SIP

הגנת שלמות המערכת, הידועה גם בשם 'חסרת שורשים', היא מנגנון אבטחה בסיסי של macOS שנועד למנוע שינויים לא מורשים ברכיבי מערכת קריטיים. על ידי עקיפת SIP, התוקפים יכולים להתקין איומים מתמשכים כגון rootkits, להתחמק ממסגרת השקיפות, ההסכמה והבקרה (TCC) של אפל ולפתוח את הדלת לניצול נוסף.

כיצד SIP מגן על macOS

SIP פועל על ידי אכיפת בקרות גישה קפדניות על ספריות חיוניות, כולל /System, /usr, /bin, /sbin ו-/var. היא מגבילה את השינויים באזורים אלה רק לתהליכים חתומים על ידי אפל עם הרשאות ספציפיות, כגון עדכוני תוכנה ומתקיני מערכת. הגנה זו מונעת ממשתמשים ותוקפים להתעסק בפונקציונליות הליבה של macOS.

זכויות SIP: חרב פיפיות

אפל מספקת שתי הרשאות SIP עיקריות המסדירות שינויים:

• com.apple.rootless.install : מעניק הרשאה לעקוף את הגבלות מערכת הקבצים של SIP עבור תהליך ספציפי.
• com.apple.rootless.install.heritable: מרחיב את הרשאת העקיפה לתהליך ולכל תהליכי הצאצא שלו.

ניצול זכויות אלה עשוי לאפשר לתוקפים לעקוף את הגנות SIP, מה שהופך אותה לדאגה אבטחה קריטית.

הניצול: כיצד יכלו תוקפים לעקוף את SIP

מעקף ה-SIP החדש שהתגלה, בדומה לניצול העבר כמו CVE-2021-30892 (Shrootless) ו-CVE-2023-32369 (Migraine), ממנף את הזכאות 'com.apple.rootless.install.heritable' בתוך Damon Storage Kit (storagekitd) של macOS ).

על ידי ניצול לרעה של היכולת של storagekitd להפעיל תהליכים שרירותיים ללא אימות, התוקפים יכולים להכניס חבילת מערכת קבצים מאיימת לתוך /Library/Filesystems. זה יאפשר להם לעקוף קבצים בינאריים המקושרים ל-Disk Utility של macOS, ולעורר התקפה במהלך פעולות כמו תיקון דיסקים. בנוסף, משתמש שורש יכול לנצל את הפגם הזה כדי לבצע קוד לא מורשה, ולעקוף לחלוטין את הגנות SIP.

ממצאי האבטחה המתמשכים של מיקרוסופט

תגלית זו באה בעקבות הדיווח הקודם של מיקרוסופט על פגיעות נוספת של macOS במסגרת שקיפות, הסכמה ובקרה (TCC) (CVE-2024-44133, aka HM Surf). הפגם הזה, עם אותו ציון CVSS של 5.5, היה יכול להיות מנוצל כדי לגשת לנתוני משתמשים רגישים. המיקוד החוזר של אמצעי האבטחה של macOS מדגיש את הצורך בערנות מתמשכת ובתיקון.

התמונה הגדולה יותר: למה SIP חשוב

על ידי הגבלת הרחבות ליבה של צד שלישי, אפל משפרת את היציבות והאבטחה של macOS. עם זאת, עקיפת SIP פוגעת בהגנות אלו, מה שהופך את המערכת לפגיעה לאיומים מתקדמים. אם SIP מושבת, פתרונות אבטחה עלולים גם לאבד את הנראות, מה שיאפשר לתוקפים לתמרן או להשבית כלי אבטחה בלי לשים לב.

יעד ראשי לתוקפים

SIP נותר יעד בעל ערך גבוה עבור חוקרי אבטחה וגורמי איומים כאחד. רבות מהגנות האבטחה של אפל מניחות שלא ניתן לעקוף את SIP, מה שהופך כל ניצול לפריצת דרך משמעותית. התקפות מוצלחות עלולות לאפשר להאקרים למקם קבצים זדוניים בספריות מוגנות, להסתיר פעילות מכלי אבטחה ולעקוף לחלוטין את הנחיות האבטחה של macOS.

להישאר מוגן: מדוע עדכונים חיוניים

ידוע כי תוקפים משתמשים בטקטיקות של הנדסה חברתית כדי לתמרן משתמשים כדי להעניק הרשאות מיותרות. עם זאת, ניצול של SIP יכול לבטל את הצורך באינטראקציה עם המשתמש לחלוטין. בהתחשב בתפקיד הבסיסי של SIP באבטחת macOS, ההגנה הטובה ביותר מפני פגיעויות כאלה היא להבטיח ש-macOS תמיד מעודכן. התקנת תיקוני האבטחה של אפל מיד עם שחרורם היא הדרך היעילה ביותר למנוע מתוקפים לנצל את הפגמים הללו.