Kortingsaanbieding voor meerdere licenties
Probleem CVE-2024-44243 macOS-kwetsbaarheid

CVE-2024-44243 macOS-kwetsbaarheid

Tegen Mezo in Probleem
Vertalen naar:
Nederlands

Microsoft heeft een beveiligingslek in Apple macOS onthuld dat, indien uitgebuit, een hacker met root-toegang in staat zou kunnen stellen om System Integrity Protection (SIP) te omzeilen. Dit lek zou ongeautoriseerde installatie van corrupte kerneldrivers via kernelextensies van derden mogelijk hebben gemaakt, wat de systeembeveiliging aanzienlijk in gevaar zou brengen.

De details van CVE-2024-44243

De kwetsbaarheid, geïdentificeerd als CVE-2024-44243, had een CVSS-ernstscore van 5,5 en werd gecategoriseerd als een probleem met een gemiddeld risico. Apple heeft deze fout aangepakt in de macOS Sequoia 15.2-update van vorige maand. Het bedrijf beschreef het als een 'configuratieprobleem' dat een onveilige applicatie in staat zou kunnen stellen om beveiligde delen van het bestandssysteem te wijzigen, wat de kernbeveiliging effectief verzwakt.

De risico's van het omzeilen van SIP

System Integrity Protection, ook bekend als 'rootless', is een fundamenteel macOS-beveiligingsmechanisme dat is ontworpen om ongeautoriseerde wijzigingen aan kritieke systeemcomponenten te voorkomen. Door SIP te omzeilen, kunnen aanvallers persistente bedreigingen installeren, zoals rootkits, Apple's Transparency, Consent, and Control (TCC)-framework omzeilen en de deur openen voor verdere exploitatie.

Hoe SIP macOS beschermt

SIP werkt door strikte toegangscontroles af te dwingen voor essentiële mappen, waaronder /System, /usr, /bin, /sbin en /var. Het beperkt wijzigingen in deze gebieden tot alleen door Apple ondertekende processen met specifieke rechten, zoals software-updates en systeeminstallatieprogramma's. Deze beveiliging voorkomt dat zowel gebruikers als aanvallers de kernfunctionaliteit van macOS manipuleren.

SIP-rechten: een tweesnijdend zwaard

Apple biedt twee belangrijke SIP-rechten die wijzigingen reguleren:

  • com.apple.rootless.install : Geeft toestemming om de bestandssysteembeperkingen van SIP voor een specifiek proces te omzeilen.
  • com.apple.rootless.install.heritable: Breidt de bypass-machtiging uit naar het proces en al zijn onderliggende processen.

Door misbruik te maken van deze rechten kunnen aanvallers de SIP-beveiliging omzeilen, wat een ernstig beveiligingsrisico vormt.

De Exploit: Hoe Aanvallers SIP Kunnen Omzeilen

De onlangs ontdekte SIP-bypass, vergelijkbaar met eerdere exploits zoals CVE-2021-30892 (Shrootless) en CVE-2023-32369 (Migraine), maakt gebruik van de 'com.apple.rootless.install.heritable'-rechten in de Storage Kit-daemon van macOS (storagekitd).

Door misbruik te maken van storagekitd's mogelijkheid om willekeurige processen te starten zonder validatie, zouden aanvallers een bedreigende bestandssysteembundel kunnen introduceren in /Library/Filesystems. Dit zou hen in staat stellen om binaire bestanden te overschrijven die gekoppeld zijn aan macOS's Disk Utility, wat een aanval zou triggeren tijdens bewerkingen zoals schijfreparatie. Bovendien zou een rootgebruiker deze fout kunnen misbruiken om ongeautoriseerde code uit te voeren, waardoor SIP-beveiligingen volledig worden omzeild.

De voortdurende beveiligingsbevindingen van Microsoft

Deze ontdekking volgt op het eerdere rapport van Microsoft over een andere macOS-kwetsbaarheid in het Transparency, Consent, and Control (TCC)-framework (CVE-2024-44133, ook bekend als HM Surf). Die fout, met dezelfde CVSS-score van 5,5, had kunnen worden uitgebuit om toegang te krijgen tot gevoelige gebruikersgegevens. Het herhaaldelijk targeten van macOS-beveiligingsmaatregelen onderstreept de noodzaak van voortdurende waakzaamheid en patching.

Het grotere plaatje: waarom SIP belangrijk is

Door kernelextensies van derden te beperken, verbetert Apple de stabiliteit en beveiliging van macOS. Het omzeilen van SIP brengt deze beveiligingen echter in gevaar, waardoor het systeem kwetsbaar wordt voor geavanceerde bedreigingen. Als SIP is uitgeschakeld, kunnen beveiligingsoplossingen ook hun zichtbaarheid verliezen, waardoor aanvallers ongemerkt beveiligingstools kunnen manipuleren of uitschakelen.

Een belangrijk doelwit voor aanvallers

SIP blijft een waardevol doelwit voor zowel beveiligingsonderzoekers als dreigingsactoren. Veel van Apple's beveiligingsverdedigingen gaan ervan uit dat SIP niet omzeild kan worden, waardoor elke exploit een belangrijke doorbraak is. Succesvolle aanvallen kunnen hackers in staat stellen om schadelijke bestanden in beschermde mappen te plaatsen, activiteit te verbergen voor beveiligingstools en macOS-beveiligingsprompts volledig te omzeilen.

Beschermd blijven: waarom updates essentieel zijn

Het is bekend dat aanvallers social engineering-tactieken gebruiken om gebruikers te manipuleren om onnodige machtigingen te verlenen. Een exploit van SIP zou echter de noodzaak voor gebruikersinteractie helemaal kunnen elimineren. Gezien de fundamentele rol van SIP in macOS-beveiliging, is de beste verdediging tegen dergelijke kwetsbaarheden om ervoor te zorgen dat macOS altijd up-to-date is. Het installeren van Apple's beveiligingspatches zodra ze worden uitgebracht, is de meest effectieve manier om te voorkomen dat aanvallers deze fouten misbruiken.

Bezig met laden...