CVE-2024-44243 Luka w zabezpieczeniach systemu macOS
Firma Microsoft ujawniła lukę w zabezpieczeniach systemu Apple macOS, która, gdyby została wykorzystana, mogłaby umożliwić hakerowi z dostępem root ominięcie System Integrity Protection (SIP). Ta luka umożliwiłaby nieautoryzowaną instalację uszkodzonych sterowników jądra za pośrednictwem rozszerzeń jądra innych firm, co znacznie naruszyłoby bezpieczeństwo systemu.
Spis treści
Szczegóły CVE-2024-44243
Luka, zidentyfikowana jako CVE-2024-44243, miała ocenę ważności CVSS 5,5 i została sklasyfikowana jako problem o średnim ryzyku. Apple naprawiło tę lukę w aktualizacji macOS Sequoia 15.2 w zeszłym miesiącu. Firma opisała ją jako „problem z konfiguracją”, który może umożliwić niebezpiecznej aplikacji modyfikację chronionych obszarów systemu plików, skutecznie osłabiając podstawowe zabezpieczenia.
Ryzyko związane z ominięciem protokołu SIP
System Integrity Protection, znany również jako „rootless”, to podstawowy mechanizm bezpieczeństwa macOS zaprojektowany w celu zapobiegania nieautoryzowanym modyfikacjom krytycznych komponentów systemu. Omijając SIP, atakujący mogliby instalować trwałe zagrożenia, takie jak rootkity, omijać ramy Transparency, Consent, and Control (TCC) firmy Apple i otwierać drzwi do dalszej eksploatacji.
Jak SIP chroni system macOS
SIP działa poprzez wymuszanie ścisłych kontroli dostępu do podstawowych katalogów, w tym /System, /usr, /bin, /sbin i /var. Ogranicza modyfikacje tych obszarów tylko do procesów podpisanych przez Apple z określonymi uprawnieniami, takimi jak aktualizacje oprogramowania i instalatory systemowe. To zabezpieczenie zapobiega zarówno użytkownikom, jak i atakującym ingerowaniu w podstawową funkcjonalność systemu macOS.
Uprawnienia SIP: miecz obosieczny
Firma Apple zapewnia dwa kluczowe uprawnienia SIP, które regulują modyfikacje:
- com.apple.rootless.install : Udziela pozwolenia na ominięcie ograniczeń systemu plików SIP dla określonego procesu.
- com.apple.rootless.install.heritable: Rozszerza uprawnienie obejścia na proces i wszystkie jego procesy potomne.
Wykorzystanie tych uprawnień może umożliwić atakującym ominięcie zabezpieczeń SIP, co stanowi poważne zagrożenie bezpieczeństwa.
Exploit: Jak atakujący mogli ominąć protokół SIP
Nowo odkryte obejście protokołu SIP, podobne do wcześniejszych luk w zabezpieczeniach, takich jak CVE-2021-30892 (Shrootless) i CVE-2023-32369 (Migraine), wykorzystuje uprawnienie „com.apple.rootless.install.heritable” w ramach demona Storage Kit systemu macOS (storagekitd).
Nadużywając możliwości storagekitd do uruchamiania dowolnych procesów bez walidacji, atakujący mogliby wprowadzić groźny pakiet systemu plików do /Library/Filesystems. Pozwoliłoby im to zastąpić pliki binarne powiązane z Disk Utility systemu macOS, wyzwalając atak podczas operacji takich jak naprawa dysku. Ponadto użytkownik root mógłby wykorzystać tę lukę do wykonania nieautoryzowanego kodu, całkowicie obchodząc zabezpieczenia SIP.
Dalsze ustalenia firmy Microsoft dotyczące bezpieczeństwa
To odkrycie jest kontynuacją wcześniejszego raportu Microsoftu na temat innej luki w zabezpieczeniach systemu macOS w ramach Transparency, Consent, and Control (TCC) (CVE-2024-44133, znanej również jako HM Surf). Ta luka, z tym samym wynikiem CVSS 5,5, mogła zostać wykorzystana do uzyskania dostępu do poufnych danych użytkownika. Powtarzające się ataki na środki bezpieczeństwa systemu macOS podkreślają potrzebę ciągłej czujności i łatania.
Szerszy obraz: dlaczego SIP ma znaczenie
Ograniczając rozszerzenia jądra innych firm, Apple zwiększa stabilność i bezpieczeństwo systemu macOS. Jednak ominięcie protokołu SIP narusza te zabezpieczenia, czyniąc system podatnym na zaawansowane zagrożenia. Jeśli protokół SIP zostanie wyłączony, rozwiązania zabezpieczające mogą również utracić widoczność, umożliwiając atakującym manipulowanie narzędziami bezpieczeństwa lub ich wyłączanie bez ich zauważenia.
Główny cel atakujących
SIP pozostaje ważnym celem zarówno dla badaczy bezpieczeństwa, jak i podmiotów stanowiących zagrożenie. Wiele zabezpieczeń Apple zakłada, że SIP nie może zostać ominięte, co sprawia, że każdy exploit jest znaczącym przełomem. Udane ataki mogą pozwolić hakerom na umieszczanie złośliwych plików w chronionych katalogach, ukrywanie aktywności przed narzędziami bezpieczeństwa i całkowite pomijanie monitów bezpieczeństwa macOS.
Zachowanie ochrony: dlaczego aktualizacje są niezbędne
Wiadomo, że atakujący stosują taktykę socjotechniczną, aby manipulować użytkownikami i nakłaniać ich do udzielania niepotrzebnych uprawnień. Jednak wykorzystanie SIP może całkowicie wyeliminować potrzebę interakcji użytkownika. Biorąc pod uwagę podstawową rolę SIP w zabezpieczeniach systemu macOS, najlepszą obroną przed takimi lukami jest zapewnienie, że macOS jest zawsze aktualny. Instalowanie poprawek bezpieczeństwa Apple zaraz po ich wydaniu jest najskuteczniejszym sposobem zapobiegania atakującym wykorzystywaniu tych luk.