CVE-2024-44243 macOS biztonsági rése
A Microsoft felfedte az Apple macOS biztonsági rését, amelyet kihasználva a root hozzáféréssel rendelkező hacker megkerülhette volna a System Integrity Protection (SIP) védelmet. Ez a hiba lehetővé tette volna a sérült kernel-illesztőprogramok jogosulatlan telepítését harmadik féltől származó kernelbővítményeken keresztül, jelentősen veszélyeztetve a rendszer biztonságát.
Tartalomjegyzék
A CVE-2024-44243 részletei
A CVE-2024-44243 néven azonosított sebezhetőség 5,5-ös CVSS súlyossági pontszámot kapott, és közepes kockázatú probléma kategóriába sorolták. Az Apple a múlt hónapban orvosolta ezt a hibát a macOS Sequoia 15.2 frissítésében. A vállalat „konfigurációs problémának” nevezte, amely lehetővé teheti egy nem biztonságos alkalmazás számára, hogy módosítsa a fájlrendszer védett területeit, ami hatékonyan gyengíti az alapvető biztonsági védelmet.
A SIP megkerülésének kockázatai
A „gyökér nélküli” rendszerintegritás-védelem egy alapvető macOS biztonsági mechanizmus, amelyet a kritikus rendszerelemek jogosulatlan módosításának megakadályozására terveztek. A SIP megkerülésével a támadók állandó fenyegetéseket telepíthetnek, például rootkiteket, megkerülhetik az Apple átláthatósági, beleegyezési és vezérlési (TCC) keretrendszerét, és megnyithatják az ajtót a további kihasználások előtt.
Hogyan védi a SIP a macOS-t
A SIP úgy működik, hogy szigorú hozzáférés-szabályozást kényszerít ki az alapvető könyvtárakra, beleértve a /System, /usr, /bin, /sbin és /var könyvtárakat. A módosításokat ezeken a területeken csak az Apple által aláírt, meghatározott jogosultságokkal rendelkező folyamatokra korlátozza, például szoftverfrissítésekre és rendszertelepítőkre. Ez a biztosíték megakadályozza, hogy a felhasználók és a támadók megzavarják a macOS alapvető funkcióit.
SIP-jogosultságok: Kétélű kard
Az Apple két kulcsfontosságú SIP-jogosultságot biztosít, amelyek szabályozzák a módosításokat:
- com.apple.rootless.install : Engedélyt ad a SIP fájlrendszer-korlátozásainak megkerülésére egy adott folyamatra vonatkozóan.
- com.apple.rootless.install.heritable: Kiterjeszti a megkerülési engedélyt a folyamatra és az összes alárendelt folyamatra.
Ezen jogosultságok kihasználása lehetővé teheti a támadók számára, hogy felülbírálják a SIP-védelmet, ami kritikus biztonsági problémát jelent.
The Exploit: Hogyan tudták megkerülni a támadók a SIP-et
Az újonnan felfedezett SIP bypass, hasonlóan a korábbi kizsákmányolásokhoz, mint például a CVE-2021-30892 (Shrootless) és a CVE-2023-32369 (Migraine), a „com.apple.rootless.install.heritable” jogosultságot használja ki a macOS Storage Kit démonjában (store). ).
Ha visszaélnek a storagekitd azon képességével, hogy tetszőleges folyamatokat indítsanak el érvényesítés nélkül, a támadók fenyegető fájlrendszer-csomagot helyezhetnek el a /Library/Filesystems mappába. Ez lehetővé tenné számukra, hogy felülbírálják a macOS Lemez segédprogramjához kapcsolódó bináris fájlokat, és támadást indítsanak el olyan műveletek során, mint a lemezjavítás. Ezenkívül a root felhasználó ezt a hibát kihasználva jogosulatlan kódot hajthat végre, teljesen megkerülve a SIP védelmet.
A Microsoft folyamatos biztonsági megállapításai
Ez a felfedezés a Microsoft korábbi, a Transparency, Consent and Control (TCC) keretrendszerben (CVE-2024-44133, más néven HM Surf) található macOS-sebezhetőségről szóló jelentését követi. Ezt a hibát ugyanazzal az 5,5-ös CVSS-pontszámmal ki lehetett volna használni érzékeny felhasználói adatok eléréséhez. A macOS biztonsági intézkedések ismételt célzása rávilágít a folyamatos éberség és javítás szükségességére.
A nagyobb kép: Miért számít a SIP?
A harmadik féltől származó kernelbővítmények korlátozásával az Apple javítja a macOS stabilitását és biztonságát. A SIP megkerülése azonban veszélyezteti ezeket a védelmet, így a rendszer sebezhetővé válik a fejlett fenyegetésekkel szemben. Ha a SIP le van tiltva, a biztonsági megoldások is elveszíthetik láthatóságukat, így a támadók észrevétlenül manipulálhatják vagy letilthatják a biztonsági eszközöket.
Elsődleges célpont a támadók számára
A SIP továbbra is nagy értékű célpont a biztonsági kutatók és a fenyegetések szereplői számára egyaránt. Az Apple számos biztonsági védelme azt feltételezi, hogy a SIP-t nem lehet megkerülni, így minden kizsákmányolás jelentős áttörést jelent. A sikeres támadások lehetővé tehetik a hackerek számára, hogy rosszindulatú fájlokat helyezzenek el védett könyvtárakba, elrejtsék a tevékenységeket a biztonsági eszközök elől, és teljesen megkerüljék a macOS biztonsági utasításait.
Védettség megőrzése: Miért elengedhetetlenek a frissítések?
A támadókról köztudott, hogy social engineering taktikákat alkalmaznak, hogy a felhasználókat szükségtelen engedélyek megadására manipulálják. A SIP kihasználása azonban teljesen kiküszöbölheti a felhasználói interakció szükségességét. Tekintettel a SIP-nek a macOS biztonságában betöltött alapvető szerepére, az ilyen sérülékenységek elleni legjobb védekezés az, ha a macOS mindig naprakész legyen. Az Apple biztonsági javításainak azonnali telepítése a kiadásuk után a leghatékonyabb módja annak, hogy megakadályozzuk, hogy a támadók kihasználják ezeket a hibákat.