CVE-2024-44243 macOS-sårbarhet
Microsoft har avslørt en sikkerhetssårbarhet i Apple macOS som, hvis den ble utnyttet, kunne ha tillatt en hacker med root-tilgang å omgå System Integrity Protection (SIP). Denne feilen ville ha aktivert uautorisert installasjon av ødelagte kjernedrivere gjennom tredjeparts kjerneutvidelser, noe som i betydelig grad kompromitterte systemsikkerheten.
Innholdsfortegnelse
Detaljene til CVE-2024-44243
Sårbarheten, identifisert som CVE-2024-44243, hadde en CVSS-score på 5,5 og ble kategorisert som et problem med middels risiko. Apple løste denne feilen i macOS Sequoia 15.2-oppdateringen forrige måned. Selskapet beskrev det som et "konfigurasjonsproblem" som kunne tillate en usikker applikasjon å endre beskyttede områder av filsystemet, og effektivt svekke kjernesikkerhetsbeskyttelsen.
Risikoen ved å omgå SIP
Systemintegritetsbeskyttelse, også kjent som "rotløs", er en grunnleggende macOS-sikkerhetsmekanisme designet for å forhindre uautoriserte modifikasjoner av kritiske systemkomponenter. Ved å omgå SIP kan angripere installere vedvarende trusler som rootkits, unngå Apples rammeverk for åpenhet, samtykke og kontroll (TCC) og åpne døren for videre utnyttelse.
Hvordan SIP beskytter macOS
SIP fungerer ved å håndheve strenge tilgangskontroller over viktige kataloger, inkludert /System, /usr, /bin, /sbin og /var. Den begrenser endringer til disse områdene til bare Apple-signerte prosesser med spesifikke rettigheter, for eksempel programvareoppdateringer og systeminstallasjonsprogrammer. Denne beskyttelsen forhindrer både brukere og angripere fra å tukle med macOS sin kjernefunksjonalitet.
SIP-rettigheter: Et tveegget sverd
Apple tilbyr to viktige SIP-rettigheter som regulerer modifikasjoner:
- com.apple.rootless.install : Gir tillatelse til å omgå SIPs filsystembegrensninger for en bestemt prosess.
- com.apple.rootless.install.heritable: Utvider bypass-tillatelsen til prosessen og alle dens underordnede prosesser.
Utnyttelse av disse rettighetene kan gjøre det mulig for angripere å overstyre SIP-beskyttelse, noe som gjør det til et kritisk sikkerhetsproblem.
The Exploit: Hvordan angripere kunne omgå SIP
Den nyoppdagede SIP-bypass-en, lik tidligere utnyttelser som CVE-2021-30892 (Shrootless) og CVE-2023-32369 (Migraine), utnytter rettigheten 'com.apple.rootless.install.heritable' i macOSs Storage Kit-daemon (storagekitd) ).
Ved å misbruke storagekitds evne til å starte vilkårlige prosesser uten validering, kan angripere introdusere en truende filsystempakke i /Library/Filesystems. Dette vil tillate dem å overstyre binærfiler knyttet til macOSs Diskverktøy, og utløse et angrep under operasjoner som diskreparasjon. I tillegg kan en root-bruker utnytte denne feilen til å utføre uautorisert kode, og omgå SIP-beskyttelse fullstendig.
Microsofts fortsatte sikkerhetsfunn
Denne oppdagelsen følger Microsofts tidligere rapport om en annen macOS-sårbarhet i rammeverket Transparency, Consent, and Control (TCC) (CVE-2024-44133, aka HM Surf). Den feilen, med samme CVSS-score på 5,5, kunne blitt utnyttet for å få tilgang til sensitive brukerdata. Den gjentatte målrettingen av macOS-sikkerhetstiltak fremhever behovet for kontinuerlig årvåkenhet og oppdatering.
The Bigger Picture: Why SIP Matters
Ved å begrense tredjeparts kjerneutvidelser, forbedrer Apple macOS-stabilitet og sikkerhet. Omgåelse av SIP kompromitterer imidlertid disse beskyttelsene, noe som gjør systemet sårbart for avanserte trusler. Hvis SIP er deaktivert, kan sikkerhetsløsninger også miste synlighet, slik at angripere kan manipulere eller deaktivere sikkerhetsverktøy ubemerket.
Et førsteklasses mål for angripere
SIP er fortsatt et verdifullt mål for sikkerhetsforskere og trusselaktører. Mange av Apples sikkerhetsforsvar antar at SIP ikke kan omgås, noe som gjør enhver utnyttelse til et betydelig gjennombrudd. Vellykkede angrep kan tillate hackere å plassere ondsinnede filer i beskyttede kataloger, skjule aktivitet fra sikkerhetsverktøy og helt omgå macOS-sikkerhetsmeldinger.
Hold deg beskyttet: Hvorfor oppdateringer er viktige
Angripere er kjent for å bruke sosial ingeniør-taktikk for å manipulere brukere til å gi unødvendige tillatelser. En utnyttelse av SIP kan imidlertid eliminere behovet for brukerinteraksjon helt. Gitt SIPs grunnleggende rolle i macOS-sikkerhet, er det beste forsvaret mot slike sårbarheter å sikre at macOS alltid er oppdatert. Å installere Apples sikkerhetsoppdateringer så snart de er utgitt er den mest effektive måten å hindre angripere i å utnytte disse feilene.