다중 라이센스 할인 견적
문제 CVE-2024-44243 macOS 취약점

CVE-2024-44243 macOS 취약점

문제년에 Mezo 년까지
번역 :
한국어

Microsoft는 Apple macOS의 보안 취약점을 공개했습니다. 이 취약점을 악용하면 루트 액세스 권한이 있는 해커가 SIP(System Integrity Protection)를 우회할 수 있습니다. 이 결함은 타사 커널 확장을 통해 손상된 커널 드라이버를 무단으로 설치하여 시스템 보안을 심각하게 손상시킬 수 있습니다.

CVE-2024-44243의 세부 정보

CVE-2024-44243으로 식별된 이 취약점은 CVSS 심각도 점수 5.5를 기록했으며 중간 위험 문제로 분류되었습니다. Apple은 지난달 macOS Sequoia 15.2 업데이트에서 이 결함을 해결했습니다. 이 회사는 이를 안전하지 않은 애플리케이션이 파일 시스템의 보호된 영역을 수정하여 핵심 보안 보호 기능을 효과적으로 약화시킬 수 있는 '구성 문제'로 설명했습니다.

SIP 우회의 위험

시스템 무결성 보호(System Integrity Protection), '루트리스(rootless)'라고도 알려진 이 기능은 중요한 시스템 구성 요소에 대한 무단 수정을 방지하도록 설계된 기본적인 macOS 보안 메커니즘입니다. 공격자는 SIP를 우회하여 루트킷과 같은 지속적인 위협을 설치하고 Apple의 투명성, 동의 및 제어(TCC) 프레임워크를 회피하고 추가 악용의 문을 열 수 있습니다.

SIP가 macOS를 보호하는 방법

SIP는 /System, /usr, /bin, /sbin, /var를 포함한 필수 디렉토리에 대한 엄격한 액세스 제어를 시행하여 작동합니다. 이러한 영역에 대한 수정을 소프트웨어 업데이트 및 시스템 설치 프로그램과 같은 특정 권한이 있는 Apple 서명 프로세스로만 제한합니다. 이 보호 장치는 사용자와 공격자가 macOS의 핵심 기능을 손상시키는 것을 방지합니다.

SIP 권한: 양날의 검

Apple은 수정을 규제하는 두 가지 주요 SIP 권한을 제공합니다.

  • com.apple.rootless.install : 특정 프로세스에 대해 SIP의 파일 시스템 제한을 우회할 수 있는 권한을 부여합니다.
  • com.apple.rootless.install.heritable: 프로세스와 모든 자식 프로세스에 대한 우회 권한을 확장합니다.

공격자는 이러한 권한을 악용하여 SIP 보호를 무시할 수 있으므로 심각한 보안 문제가 될 수 있습니다.

익스플로잇: 공격자가 SIP를 우회할 수 있는 방법

새롭게 발견된 SIP 우회 공격은 과거의 CVE-2021-30892(Shrootless) 및 CVE-2023-32369(Migraine)와 유사하며, macOS의 Storage Kit 데몬(storagekitd) 내의 'com.apple.rootless.install.heritable' 권한을 활용합니다.

검증 없이 임의의 프로세스를 시작하는 storagekitd의 기능을 악용하여 공격자는 /Library/Filesystems에 위협적인 파일 시스템 번들을 도입할 수 있습니다. 이를 통해 macOS의 Disk Utility에 연결된 바이너리를 재정의하여 디스크 복구와 같은 작업 중에 공격을 트리거할 수 있습니다. 또한 루트 사용자는 이 결함을 악용하여 허가되지 않은 코드를 실행하여 SIP 보호를 완전히 우회할 수 있습니다.

Microsoft의 지속적인 보안 결과

이번 발견은 Microsoft가 이전에 투명성, 동의 및 제어(TCC) 프레임워크(CVE-2024-44133, 일명 HM Surf)의 또 다른 macOS 취약성에 대해 보고한 데 따른 것입니다. CVSS 점수가 5.5인 해당 결함은 민감한 사용자 데이터에 액세스하는 데 악용되었을 수 있습니다. macOS 보안 조치에 대한 반복적인 타겟팅은 지속적인 경계와 패치가 필요하다는 점을 강조합니다.

더 큰 그림: SIP가 중요한 이유

타사 커널 확장을 제한함으로써 Apple은 macOS 안정성과 보안을 강화합니다. 그러나 SIP를 우회하면 이러한 보호 기능이 손상되어 시스템이 고급 위협에 취약해집니다. SIP가 비활성화되면 보안 솔루션도 가시성을 잃어 공격자가 눈치채지 못하게 보안 도구를 조작하거나 비활성화할 수 있습니다.

공격자의 주요 타겟

SIP는 보안 연구자와 위협 행위자 모두에게 여전히 높은 가치의 타깃입니다. Apple의 보안 방어 수단 중 다수는 SIP를 우회할 수 없다고 가정하여 모든 익스플로잇이 상당한 돌파구가 됩니다. 성공적인 공격을 통해 해커는 악성 파일을 보호된 디렉터리에 넣고, 보안 도구에서 활동을 숨기고, macOS 보안 프롬프트를 완전히 우회할 수 있습니다.

보호 유지: 업데이트가 필수적인 이유

공격자는 소셜 엔지니어링 전술을 사용하여 사용자를 조종하여 불필요한 권한을 부여하는 것으로 알려져 있습니다. 그러나 SIP를 악용하면 사용자 상호 작용의 필요성을 완전히 없앨 수 있습니다. macOS 보안에서 SIP의 기본적인 역할을 감안할 때 이러한 취약성에 대한 가장 좋은 방어책은 macOS를 항상 최신 상태로 유지하는 것입니다. Apple의 보안 패치가 출시되는 즉시 설치하는 것이 공격자가 이러한 결함을 악용하는 것을 방지하는 가장 효과적인 방법입니다.

로드 중...