Vairāku licenču atlaides piedāvājums
Problēma CVE-2024-44243 macOS ievainojamība

CVE-2024-44243 macOS ievainojamība

Līdz Mezo. gadam Problēma. gadā
Tulkot uz:
Latviešu

Korporācija Microsoft ir atklājusi Apple macOS drošības ievainojamību, kas, ja tā tiktu izmantota, varētu būt ļāvusi hakeram ar root piekļuvi apiet sistēmas integritātes aizsardzību (SIP). Šis trūkums būtu ļāvis nesankcionēti instalēt bojātus kodola draiverus, izmantojot trešās puses kodola paplašinājumus, būtiski apdraudot sistēmas drošību.

Sīkāka informācija par CVE-2024-44243

Ievainojamības, kas identificēta kā CVE-2024-44243, CVSS smaguma pakāpe bija 5,5, un tā tika klasificēta kā vidēja riska problēma. Apple pagājušajā mēnesī novērsa šo trūkumu macOS Sequoia 15.2 atjauninājumā. Uzņēmums to raksturoja kā "konfigurācijas problēmu", kas var ļaut nedrošai lietojumprogrammai modificēt failu sistēmas aizsargātās zonas, tādējādi efektīvi vājinot galveno drošības aizsardzību.

SIP apiešanas riski

Sistēmas integritātes aizsardzība, kas pazīstama arī kā “bez saknes”, ir galvenais MacOS drošības mehānisms, kas izstrādāts, lai novērstu neatļautas kritisko sistēmas komponentu modifikācijas. Apejot SIP, uzbrucēji var instalēt pastāvīgus draudus, piemēram, sakņu komplektus, izvairīties no Apple pārredzamības, piekrišanas un kontroles (TCC) sistēmas un atvērt durvis turpmākai izmantošanai.

Kā SIP aizsargā MacOS

SIP darbojas, ieviešot stingru piekļuves kontroli svarīgākajiem direktorijiem, tostarp /System, /usr, /bin, /sbin un /var. Tas ierobežo modifikācijas šajās jomās tikai ar Apple parakstītiem procesiem ar īpašām tiesībām, piemēram, programmatūras atjauninājumiem un sistēmas instalētājiem. Šis drošības līdzeklis neļauj gan lietotājiem, gan uzbrucējiem iejaukties MacOS pamatfunkcijās.

SIP tiesības: abpusēji griezīgs zobens

Apple nodrošina divas galvenās SIP tiesības, kas regulē izmaiņas:

  • com.apple.rootless.install : piešķir atļauju apiet SIP failu sistēmas ierobežojumus konkrētam procesam.
  • com.apple.rootless.install.heritable: paplašina apiešanas atļauju procesam un visiem tā pakārtotajiem procesiem.

Šo tiesību izmantošana var ļaut uzbrucējiem ignorēt SIP aizsardzību, padarot to par kritisku drošības problēmu.

Izmantošana: kā uzbrucēji varētu apiet SIP

Jaunatklātais SIP apvedceļš, kas ir līdzīgs iepriekšējiem paņēmieniem, piemēram, CVE-2021-30892 (Shrootless) un CVE-2023-32369 (Migrēna), izmanto tiesības “com.apple.rootless.install.heritable” macOS Storage Kitd dēmonā (storage Kitd). ).

Ļaunprātīgi izmantojot Storagekitd spēju palaist patvaļīgus procesus bez validācijas, uzbrucēji mapē /Library/Filesystems var ieviest apdraudošu failu sistēmas komplektu. Tas ļautu viņiem ignorēt bināros failus, kas saistīti ar macOS Disk Utility, izraisot uzbrukumu tādu darbību laikā kā diska labošana. Turklāt root lietotājs var izmantot šo trūkumu, lai izpildītu nesankcionētu kodu, pilnībā apejot SIP aizsardzību.

Microsoft nepārtrauktie drošības konstatējumi

Šis atklājums seko Microsoft iepriekšējam ziņojumam par citu macOS ievainojamību Transparency, Consent and Control (TCC) sistēmā (CVE-2024-44133, arī HM Surf). Šo trūkumu ar tādu pašu CVSS punktu skaitu 5,5 varēja izmantot, lai piekļūtu sensitīviem lietotāja datiem. Atkārtota macOS drošības pasākumu mērķēšana uzsver nepieciešamību pēc pastāvīgas modrības un ielāpu.

Lielāks attēls: kāpēc SIP ir svarīgs

Ierobežojot trešo pušu kodola paplašinājumus, Apple uzlabo MacOS stabilitāti un drošību. Tomēr, apejot SIP, šī aizsardzība tiek apdraudēta, padarot sistēmu neaizsargātu pret progresīviem draudiem. Ja SIP ir atspējots, drošības risinājumi var arī zaudēt redzamību, ļaujot uzbrucējiem nepamanīti manipulēt vai atspējot drošības rīkus.

Galvenais uzbrucēju mērķis

SIP joprojām ir vērtīgs mērķis gan drošības pētniekiem, gan apdraudējuma dalībniekiem. Daudzi Apple drošības aizsardzības līdzekļi pieņem, ka SIP nevar apiet, padarot jebkuru ekspluatāciju par nozīmīgu izrāvienu. Veiksmīgi uzbrukumi var ļaut hakeriem ievietot ļaunprātīgus failus aizsargātos direktorijos, slēpt darbības no drošības rīkiem un pilnībā apiet MacOS drošības uzvednes.

Aizsardzības saglabāšana: kāpēc atjauninājumi ir nepieciešami

Ir zināms, ka uzbrucēji izmanto sociālās inženierijas taktiku, lai manipulētu ar lietotājiem, lai tie piešķirtu nevajadzīgas atļaujas. Tomēr SIP izmantošana varētu pilnībā novērst vajadzību pēc lietotāja mijiedarbības. Ņemot vērā SIP būtisko lomu macOS drošībā, labākā aizsardzība pret šādām ievainojamībām ir nodrošināt MacOS vienmēr atjauninātu. Apple drošības ielāpu instalēšana, tiklīdz tie ir izlaisti, ir visefektīvākais veids, kā novērst uzbrucēju izmantošanu no šiem trūkumiem.

Notiek ielāde...