Vulnerabilitatea macOS CVE-2024-44243
Microsoft a dezvăluit o vulnerabilitate de securitate în Apple macOS care, dacă ar fi fost exploatată, ar fi putut permite unui hacker cu acces root să ocolească System Integrity Protection (SIP). Această defecțiune ar fi permis instalarea neautorizată a driverelor de kernel corupte prin extensii de kernel terță parte, compromițând în mod semnificativ securitatea sistemului.
Cuprins
Detaliile CVE-2024-44243
Vulnerabilitatea, identificată ca CVE-2024-44243, avea un scor de severitate CVSS de 5,5 și a fost clasificată ca o problemă cu risc mediu. Apple a remediat această defecțiune în actualizarea macOS Sequoia 15.2 luna trecută. Compania a descris-o ca o „problemă de configurare” care ar putea permite unei aplicații nesigure să modifice zonele protejate ale sistemului de fișiere, slăbind efectiv protecțiile de securitate de bază.
Riscurile de a ocoli SIP
Protecția integrității sistemului, cunoscută și sub denumirea de „fără rădăcină”, este un mecanism fundamental de securitate macOS conceput pentru a preveni modificările neautorizate ale componentelor critice ale sistemului. Ocolind SIP, atacatorii ar putea instala amenințări persistente, cum ar fi rootkit-uri, ar putea sustrage cadrul Apple de transparență, consimțământ și control (TCC) și ar putea deschide ușa pentru exploatare ulterioară.
Cum protejează SIP macOS
SIP funcționează prin aplicarea unor controale stricte de acces asupra directoarelor esențiale, inclusiv /System, /usr, /bin, /sbin și /var. Limitează modificările acestor zone doar la procesele semnate de Apple cu drepturi specifice, cum ar fi actualizările de software și instalatorii de sistem. Această protecție împiedică atât utilizatorii, cât și atacatorii să modifice funcționalitatea de bază a macOS.
Drepturi SIP: O sabie cu două tăișuri
Apple oferă două drepturi SIP cheie care reglementează modificările:
- com.apple.rootless.install : acordă permisiunea de a ocoli restricțiile sistemului de fișiere SIP pentru un anumit proces.
- com.apple.rootless.install.heritable: extinde permisiunea de ocolire la proces și la toate procesele sale secundare.
Exploatarea acestor drepturi ar putea permite atacatorilor să depășească protecțiile SIP, făcându-l o problemă critică de securitate.
Exploit: Cum ar putea atacatorii să ocolească SIP
Bypass-ul SIP recent descoperit, similar cu exploatările anterioare precum CVE-2021-30892 (Shrootless) și CVE-2023-32369 (Migraine), folosește dreptul „com.apple.rootless.install.heritable” din demonul macOS Storage Kit (storagekitd). ).
Abuzând de capacitatea storagekitd de a lansa procese arbitrare fără validare, atacatorii ar putea introduce un pachet de sisteme de fișiere amenințător în /Library/Filesystems. Acest lucru le-ar permite să suprascrie fișierele binare legate de Utilitarul de disc al macOS, declanșând un atac în timpul operațiunilor precum repararea discului. În plus, un utilizator root ar putea exploata acest defect pentru a executa cod neautorizat, eludând complet protecțiile SIP.
Constatările Microsoft privind securitatea continuă
Această descoperire urmează raportului anterior al Microsoft privind o altă vulnerabilitate macOS în cadrul Transparency, Consent, and Control (TCC) (CVE-2024-44133, alias HM Surf). Acest defect, cu același scor CVSS de 5,5, ar fi putut fi exploatat pentru a accesa datele sensibile ale utilizatorilor. Țintirea repetată a măsurilor de securitate macOS evidențiază nevoia de vigilență și corecție continuă.
Imaginea de ansamblu: de ce contează SIP
Restricționând extensiile de nucleu terță parte, Apple îmbunătățește stabilitatea și securitatea macOS. Cu toate acestea, ocolirea SIP compromite aceste protecții, făcând sistemul vulnerabil la amenințări avansate. Dacă SIP este dezactivat, soluțiile de securitate pot pierde vizibilitatea, permițând atacatorilor să manipuleze sau să dezactiveze instrumentele de securitate neobservate.
O țintă principală pentru atacatori
SIP rămâne o țintă de mare valoare atât pentru cercetătorii de securitate, cât și pentru actorii amenințărilor. Multe dintre apărările de securitate ale Apple presupun că SIP nu poate fi ocolit, făcând orice exploatare un progres semnificativ. Atacurile de succes le-ar putea permite hackerilor să plaseze fișiere rău intenționate în directoare protejate, să ascundă activitatea instrumentelor de securitate și să ocolească în totalitate solicitările de securitate macOS.
Rămâi protejat: de ce actualizările sunt esențiale
Se știe că atacatorii folosesc tactici de inginerie socială pentru a manipula utilizatorii pentru a acorda permisiuni inutile. Cu toate acestea, o exploatare a SIP ar putea elimina cu totul nevoia de interacțiune cu utilizatorul. Având în vedere rolul fundamental al SIP în securitatea macOS, cea mai bună apărare împotriva unor astfel de vulnerabilități este să vă asigurați că macOS este întotdeauna actualizat. Instalarea patch-urilor de securitate Apple imediat ce sunt lansate este cea mai eficientă modalitate de a preveni atacatorii să exploateze aceste defecte.