CVE-2024-44243 Kerentanan macOS
Microsoft telah mendedahkan kelemahan keselamatan dalam macOS Apple yang, jika dieksploitasi, boleh membenarkan penggodam dengan akses root untuk memintas Perlindungan Integriti Sistem (SIP). Cacat ini akan membolehkan pemasangan pemacu kernel yang rosak tanpa kebenaran melalui sambungan kernel pihak ketiga, yang menjejaskan keselamatan sistem dengan ketara.
Isi kandungan
Butiran CVE-2024-44243
Kerentanan, yang dikenal pasti sebagai CVE-2024-44243, membawa skor keterukan CVSS 5.5 dan dikategorikan sebagai isu berisiko sederhana. Apple menangani kelemahan ini dalam kemas kini macOS Sequoia 15.2 bulan lepas. Syarikat itu menyifatkan ia sebagai 'isu konfigurasi' yang boleh membenarkan aplikasi yang tidak selamat untuk mengubah suai kawasan terlindung sistem fail, dengan berkesan melemahkan perlindungan keselamatan teras.
Risiko Melangkau SIP
Perlindungan Integriti Sistem, juga dikenali sebagai 'tanpa akar,' ialah mekanisme keselamatan macOS asas yang direka untuk menghalang pengubahsuaian tanpa kebenaran kepada komponen sistem kritikal. Dengan memintas SIP, penyerang boleh memasang ancaman berterusan seperti rootkit, mengelak rangka kerja Ketelusan, Persetujuan dan Kawalan (TCC) Apple dan membuka pintu untuk eksploitasi selanjutnya.
Bagaimana SIP Melindungi macOS
SIP berfungsi dengan menguatkuasakan kawalan akses yang ketat ke atas direktori penting, termasuk /System, /usr, /bin, /sbin, dan /var. Ia mengehadkan pengubahsuaian pada kawasan ini kepada hanya proses yang ditandatangani Apple dengan kelayakan tertentu, seperti kemas kini perisian dan pemasang sistem. Perlindungan ini menghalang pengguna dan penyerang daripada mengganggu fungsi teras macOS.
Kelayakan SIP: Pedang Bermata Dua
Apple menyediakan dua kelayakan SIP utama yang mengawal pengubahsuaian:
- com.apple.rootless.install : Memberi kebenaran untuk memintas sekatan sistem fail SIP untuk proses tertentu.
- com.apple.rootless.install.heritable: Memanjangkan kebenaran pintasan kepada proses dan semua proses anaknya.
Mengeksploitasi kelayakan ini boleh membolehkan penyerang mengatasi perlindungan SIP, menjadikannya kebimbangan keselamatan yang kritikal.
Eksploitasi: Bagaimana Penyerang boleh Melangkau SIP
Pintasan SIP yang baru ditemui, serupa dengan eksploitasi masa lalu seperti CVE-2021-30892 (Shrootless) dan CVE-2023-32369 (Migrain), memanfaatkan kelayakan 'com.apple.rootless.install.heritable' dalam daemon Kit Penyimpanan macOS (storagekitd ).
Dengan menyalahgunakan keupayaan storagekitd untuk melancarkan proses sewenang-wenangnya tanpa pengesahan, penyerang boleh memperkenalkan himpunan sistem fail yang mengancam ke dalam /Library/Filesystems. Ini akan membolehkan mereka mengatasi perduaan yang dipautkan kepada Utiliti Cakera macOS, mencetuskan serangan semasa operasi seperti pembaikan cakera. Selain itu, pengguna root boleh mengeksploitasi kecacatan ini untuk melaksanakan kod yang tidak dibenarkan, memintas perlindungan SIP sepenuhnya.
Penemuan Keselamatan Berterusan Microsoft
Penemuan ini mengikuti laporan awal Microsoft tentang kerentanan macOS lain dalam rangka kerja Ketelusan, Persetujuan dan Kawalan (TCC) (CVE-2024-44133, aka HM Surf). Kesilapan itu, dengan skor CVSS yang sama sebanyak 5.5, mungkin telah dieksploitasi untuk mengakses data pengguna yang sensitif. Penyasaran berulang langkah keselamatan macOS menyerlahkan keperluan untuk kewaspadaan dan penampalan berterusan.
Gambaran Lebih Besar: Mengapa SIP Penting
Dengan mengehadkan sambungan kernel pihak ketiga, Apple meningkatkan kestabilan dan keselamatan macOS. Walau bagaimanapun, memintas SIP menjejaskan perlindungan ini, menjadikan sistem terdedah kepada ancaman lanjutan. Jika SIP dilumpuhkan, penyelesaian keselamatan juga mungkin kehilangan keterlihatan, membenarkan penyerang memanipulasi atau melumpuhkan alat keselamatan tanpa disedari.
Sasaran Utama untuk Penyerang
SIP kekal sebagai sasaran bernilai tinggi untuk penyelidik keselamatan dan pelaku ancaman. Banyak pertahanan keselamatan Apple menganggap SIP tidak boleh dipintas, menjadikan sebarang eksploitasi sebagai satu kejayaan yang ketara. Serangan yang berjaya boleh membenarkan penggodam meletakkan fail berniat jahat dalam direktori yang dilindungi, menyembunyikan aktiviti daripada alat keselamatan dan memintas gesaan keselamatan macOS sepenuhnya.
Kekal Dilindungi: Mengapa Kemas Kini Penting
Penyerang diketahui menggunakan taktik kejuruteraan sosial untuk memanipulasi pengguna untuk memberikan kebenaran yang tidak perlu. Walau bagaimanapun, eksploitasi SIP boleh menghapuskan keperluan untuk interaksi pengguna sama sekali. Memandangkan peranan asas SIP dalam keselamatan macOS, pertahanan terbaik terhadap kelemahan tersebut adalah memastikan macOS sentiasa terkini. Memasang patch keselamatan Apple sebaik sahaja ia dikeluarkan adalah cara paling berkesan untuk menghalang penyerang daripada mengeksploitasi kelemahan ini.