Уязвимость macOS CVE-2024-44243
Microsoft выявила уязвимость безопасности в Apple macOS, которая, если бы она была использована, могла бы позволить хакеру с правами root обойти защиту целостности системы (SIP). Эта уязвимость позволила бы несанкционированную установку поврежденных драйверов ядра через сторонние расширения ядра, что значительно поставило бы под угрозу безопасность системы.
Оглавление
Подробности CVE-2024-44243
Уязвимость, обозначенная как CVE-2024-44243, имела оценку серьезности CVSS 5,5 и была отнесена к категории проблем со средним риском. Apple устранила эту уязвимость в обновлении macOS Sequoia 15.2 в прошлом месяце. Компания описала ее как «проблему конфигурации», которая может позволить небезопасному приложению изменять защищенные области файловой системы, эффективно ослабляя основные средства защиты.
Риски обхода SIP
System Integrity Protection, также известная как «rootless», — это фундаментальный механизм безопасности macOS, разработанный для предотвращения несанкционированных изменений критических компонентов системы. Обходя SIP, злоумышленники могут устанавливать постоянные угрозы, такие как руткиты, обходить фреймворк Apple Transparency, Consent, and Control (TCC) и открывать дверь для дальнейшей эксплуатации.
Как SIP защищает macOS
SIP работает, обеспечивая строгий контроль доступа к основным каталогам, включая /System, /usr, /bin, /sbin и /var. Он ограничивает изменения в этих областях только подписанными Apple процессами с определенными правами, такими как обновления программного обеспечения и установщики системы. Эта защита не позволяет как пользователям, так и злоумышленникам вмешиваться в основные функции macOS.
Права SIP: палка о двух концах
Apple предоставляет два ключевых права SIP, регулирующих изменения:
- com.apple.rootless.install : предоставляет разрешение на обход ограничений файловой системы SIP для определенного процесса.
- com.apple.rootless.install.heritable: Распространяет разрешение обхода на процесс и все его дочерние процессы.
Использование этих прав может позволить злоумышленникам обойти защиту SIP, что делает это серьезной проблемой безопасности.
Эксплойт: как злоумышленники могут обойти SIP
Недавно обнаруженный обход SIP, аналогичный прошлым эксплойтам, таким как CVE-2021-30892 (Shrootless) и CVE-2023-32369 (Migraine), использует права «com.apple.rootless.install.heritable» в демоне Storage Kit macOS (storagekitd).
Используя возможность storagekitd запускать произвольные процессы без проверки, злоумышленники могут внедрить угрожающий пакет файловой системы в /Library/Filesystems. Это позволит им переопределять двоичные файлы, связанные с Disk Utility macOS, запуская атаку во время таких операций, как восстановление диска. Кроме того, пользователь root может использовать эту уязвимость для выполнения несанкционированного кода, полностью обходя защиту SIP.
Продолжение выводов Microsoft по безопасности
Это открытие следует за более ранним отчетом Microsoft о другой уязвимости macOS в фреймворке Transparency, Consent, and Control (TCC) (CVE-2024-44133, также известной как HM Surf). Эта уязвимость с той же оценкой CVSS 5,5 могла быть использована для доступа к конфиденциальным данным пользователя. Повторные атаки на меры безопасности macOS подчеркивают необходимость постоянной бдительности и исправления.
Общая картина: почему SIP имеет значение
Ограничивая сторонние расширения ядра, Apple повышает стабильность и безопасность macOS. Однако обход SIP ставит под угрозу эти защиты, делая систему уязвимой для расширенных угроз. Если SIP отключен, решения безопасности также могут потерять видимость, что позволяет злоумышленникам манипулировать или отключать инструменты безопасности незаметно.
Главная цель для злоумышленников
SIP остается высокоприоритетной целью для исследователей безопасности и злоумышленников. Многие из защитных мер Apple предполагают, что SIP нельзя обойти, что делает любой эксплойт значительным прорывом. Успешные атаки могут позволить хакерам размещать вредоносные файлы в защищенных каталогах, скрывать активность от инструментов безопасности и полностью обходить запросы безопасности macOS.
Сохраняйте защиту: почему обновления так важны
Известно, что злоумышленники используют тактику социальной инженерии, чтобы манипулировать пользователями, заставляя их предоставлять ненужные разрешения. Однако эксплойт SIP может полностью исключить необходимость взаимодействия с пользователем. Учитывая фундаментальную роль SIP в безопасности macOS, лучшей защитой от таких уязвимостей является обеспечение постоянной актуальности macOS. Установка исправлений безопасности Apple сразу после их выпуска — наиболее эффективный способ не допустить использования этих уязвимостей злоумышленниками.