Kelių licencijų nuolaidos pasiūlymas
problema CVE-2024-44243 macOS pažeidžiamumas

CVE-2024-44243 macOS pažeidžiamumas

Autorius Mezo, problema
Versti į:
Lietuvių

„Microsoft“ atskleidė „Apple macOS“ saugos pažeidžiamumą, kurį išnaudojus įsilaužėliui, turinčiam root prieigą, būtų galima apeiti sistemos vientisumo apsaugą (SIP). Šis trūkumas būtų leidęs neteisėtai įdiegti sugadintas branduolio tvarkykles naudojant trečiųjų šalių branduolio plėtinius, o tai gerokai pakenktų sistemos saugumui.

Išsami informacija apie CVE-2024-44243

Pažeidžiamumo, identifikuoto kaip CVE-2024-44243, CVSS sunkumo balas buvo 5,5 ir jis buvo priskirtas vidutinės rizikos problemai. Praėjusį mėnesį „Apple“ ištaisė šį „macOS Sequoia 15.2“ atnaujinimo trūkumą. Bendrovė tai apibūdino kaip „konfigūracijos problemą“, dėl kurios nesaugi programa gali modifikuoti apsaugotas failų sistemos sritis, veiksmingai susilpnindama pagrindines saugos priemones.

SIP apėjimo rizika

Sistemos vientisumo apsauga, dar žinoma kaip „be šaknų“, yra pagrindinis „MacOS“ saugos mechanizmas, skirtas apsaugoti nuo neteisėtų svarbiausių sistemos komponentų pakeitimų. Apeidami SIP, užpuolikai gali įdiegti nuolatines grėsmes, tokias kaip rootkit, išvengti „Apple“ skaidrumo, sutikimo ir valdymo (TCC) sistemos ir atverti duris tolesniam išnaudojimui.

Kaip SIP apsaugo „MacOS“.

SIP veikia taikydamas griežtą prieigos prie pagrindinių katalogų, įskaitant /System, /usr, /bin, /sbin ir /var, kontrolę. Tai apriboja šių sričių pakeitimus tik „Apple“ pasirašytais procesais, turinčiais tam tikras teises, pvz., programinės įrangos naujinius ir sistemos diegimo programas. Ši apsaugos priemonė neleidžia vartotojams ir užpuolikams sugadinti pagrindines „macOS“ funkcijas.

SIP teisės: dviašmenis kardas

„Apple“ teikia dvi pagrindines SIP teises, kurios reguliuoja pakeitimus:

  • com.apple.rootless.install : suteikia leidimą apeiti SIP failų sistemos apribojimus konkrečiam procesui.
  • com.apple.rootless.install.heritable: išplečia apėjimo leidimą procesui ir visiems jo antriniams procesams.

Išnaudojus šias teises, užpuolikai gali nepaisyti SIP apsaugos, todėl tai gali būti labai svarbi saugumo problema.

Išnaudojimas: kaip užpuolikai galėtų apeiti SIP

Naujai atrastas SIP apėjimas, panašus į ankstesnius išnaudojimus, tokius kaip CVE-2021-30892 (Shrootless) ir CVE-2023-32369 (Migrena), naudoja „com.apple.rootless.install.heritable“ teisę „MacOS Storage Kitd“ demone (storage Kitd). ).

Piktnaudžiaudami Storagekitd galimybe paleisti savavališkus procesus be patvirtinimo, užpuolikai į /Library/Filesystems gali įvesti grėsmingą failų sistemos paketą. Tai leistų jiems nepaisyti dvejetainių failų, susietų su „MacOS“ disko paslaugų programa, sukeldami ataką atliekant tokias operacijas kaip disko taisymas. Be to, šakninis vartotojas gali pasinaudoti šia klaida, kad vykdytų neleistiną kodą, visiškai apeisdamas SIP apsaugą.

„Microsoft“ nuolatiniai saugumo atradimai

Šis atradimas buvo atliktas po ankstesnės „Microsoft“ ataskaitos apie kitą „MacOS“ pažeidžiamumą skaidrumo, sutikimo ir valdymo (TCC) sistemoje (CVE-2024-44133, dar žinomas kaip HM Surf). Šis trūkumas, turintis tą patį CVSS balą 5,5, galėjo būti panaudotas norint pasiekti neskelbtinus vartotojo duomenis. Pakartotinis macOS saugos priemonių taikymas pabrėžia nuolatinio budrumo ir pataisymo poreikį.

Didesnis paveikslas: kodėl SIP svarbu

Apribodama trečiųjų šalių branduolio plėtinius, „Apple“ padidina „macOS“ stabilumą ir saugumą. Tačiau apeinant SIP pažeidžiama ši apsauga, todėl sistema tampa pažeidžiama pažangių grėsmių. Jei SIP išjungtas, saugos sprendimai taip pat gali prarasti matomumą, todėl užpuolikai gali nepastebimai manipuliuoti ar išjungti saugos įrankius.

Pagrindinis užpuolikų taikinys

SIP išlieka didelės vertės saugumo tyrinėtojų ir grėsmių subjektų tikslas. Daugelis „Apple“ apsaugos priemonių daro prielaidą, kad SIP negalima apeiti, todėl bet koks išnaudojimas yra reikšmingas proveržis. Sėkmingos atakos gali leisti įsilaužėliams patalpinti kenkėjiškus failus į apsaugotus katalogus, paslėpti veiklą nuo saugos įrankių ir visiškai apeiti „macOS“ saugos raginimus.

Išlikti apsaugotas: kodėl naujinimai yra būtini

Žinoma, kad užpuolikai naudoja socialinės inžinerijos taktiką, kad manipuliuotų naudotojais, kad jie suteiktų nereikalingus leidimus. Tačiau SIP išnaudojimas gali visiškai pašalinti vartotojo sąveikos poreikį. Atsižvelgiant į pagrindinį SIP vaidmenį užtikrinant „macOS“ saugumą, geriausia apsauga nuo tokių pažeidžiamumų yra užtikrinti, kad „macOS“ visada būtų atnaujinta. „Apple“ saugos pataisų įdiegimas iškart po jų išleidimo yra veiksmingiausias būdas užkirsti kelią užpuolikams pasinaudoti šiais trūkumais.

Įkeliama...