Popust za več licenc
Izdaja CVE-2024-44243 Ranljivost macOS

CVE-2024-44243 Ranljivost macOS

Do leta Mezo leta Izdaja
Prevedi v:
Slovenščina

Microsoft je razkril varnostno ranljivost v sistemu Apple macOS, ki bi hekerju s korenskim dostopom lahko obšla zaščito sistemske integritete (SIP), če bi jo izkoristili. Ta napaka bi omogočila nepooblaščeno namestitev poškodovanih gonilnikov jedra prek razširitev jedra tretjih oseb, kar bi znatno ogrozilo varnost sistema.

Podrobnosti CVE-2024-44243

Ranljivost, identificirana kot CVE-2024-44243, je imela oceno resnosti CVSS 5,5 in je bila kategorizirana kot težava s srednjim tveganjem. Apple je to napako odpravil v posodobitvi macOS Sequoia 15.2 prejšnji mesec. Podjetje je to opisalo kot "konfiguracijsko težavo", ki bi lahko nevarni aplikaciji omogočila spreminjanje zaščitenih območij datotečnega sistema, kar bi dejansko oslabilo osnovno varnostno zaščito.

Tveganja obhoda SIP

Zaščita celovitosti sistema, znana tudi kot "brez korenin", je temeljni varnostni mehanizem macOS, zasnovan za preprečevanje nepooblaščenih sprememb kritičnih komponent sistema. Z obhodom SIP bi lahko napadalci namestili trajne grožnje, kot so rootkiti, se izognili Applovemu ogrodju Transparency, Consent in Control (TCC) in odprli vrata nadaljnjemu izkoriščanju.

Kako SIP ščiti macOS

SIP deluje tako, da uveljavlja strog nadzor dostopa do bistvenih imenikov, vključno z /System, /usr, /bin, /sbin in /var. Spremembe teh področij omejuje samo na procese, ki jih podpisuje Apple, s posebnimi pooblastili, kot so posodobitve programske opreme in namestitveni programi sistema. Ta zaščita preprečuje tako uporabnikom kot napadalcem poseganje v osnovno funkcionalnost macOS.

Upravičenja SIP: Dvorezen meč

Apple ponuja dve ključni pravici SIP, ki urejata spremembe:

  • com.apple.rootless.install : Dodeli dovoljenje za obhod omejitev datotečnega sistema SIP za določen proces.
  • com.apple.rootless.install.heritable: Razširi dovoljenje za obvod na proces in vse njegove podrejene procese.

Izkoriščanje teh pooblastil bi lahko napadalcem omogočilo, da preglasijo zaščito SIP, zaradi česar je kritična varnostna skrb.

Izkoriščanje: kako bi lahko napadalci zaobšli SIP

Na novo odkrit obvod SIP, podoben preteklim izkoriščanjem, kot sta CVE-2021-30892 (Shrootless) in CVE-2023-32369 (Migraine), izkorišča pooblastilo 'com.apple.rootless.install.heritable' znotraj demona Storage Kit za macOS (storagekitd). ).

Z zlorabo zmožnosti storagekitd za zagon poljubnih procesov brez preverjanja lahko napadalci v /Library/Filesystems vnesejo nevaren sveženj datotečnega sistema. To bi jim omogočilo, da preglasijo binarne datoteke, povezane z orodjem Disk Utility za macOS, in sprožijo napad med operacijami, kot je popravilo diska. Poleg tega lahko korenski uporabnik izkoristi to napako za izvajanje nepooblaščene kode in se v celoti izogne zaščiti SIP.

Microsoftove nenehne varnostne ugotovitve

To odkritje sledi prejšnjemu Microsoftovemu poročilu o drugi ranljivosti macOS v ogrodju Transparency, Consent, and Control (TCC) (CVE-2024-44133, alias HM Surf). To napako z enako oceno CVSS 5,5 bi lahko izkoristili za dostop do občutljivih uporabniških podatkov. Ponavljajoče se ciljanje varnostnih ukrepov macOS poudarja potrebo po stalni pazljivosti in popravkih.

Večja slika: Zakaj je SIP pomemben

Z omejevanjem razširitev jedra tretjih oseb Apple izboljša stabilnost in varnost macOS. Vendar pa obhod SIP ogrozi te zaščite, zaradi česar je sistem ranljiv za napredne grožnje. Če je SIP onemogočen, lahko tudi varnostne rešitve izgubijo vidnost, kar napadalcem omogoči, da neopazno manipulirajo ali onemogočijo varnostna orodja.

Glavna tarča za napadalce

SIP ostaja tarča visoke vrednosti za varnostne raziskovalce in akterje groženj. Številne Applove varnostne obrambe predvidevajo, da SIP ni mogoče obiti, zaradi česar je vsako izkoriščanje pomemben preboj. Uspešni napadi lahko hekerjem omogočijo, da postavijo zlonamerne datoteke v zaščitene imenike, skrijejo dejavnost pred varnostnimi orodji in v celoti obidejo varnostne pozive macOS.

Ostati zaščiten: Zakaj so posodobitve bistvenega pomena

Znano je, da napadalci uporabljajo taktike socialnega inženiringa, da manipulirajo z uporabniki, da podelijo nepotrebna dovoljenja. Vendar bi izkoriščanje SIP lahko popolnoma odpravilo potrebo po interakciji uporabnika. Glede na temeljno vlogo SIP pri varnosti macOS je najboljša obramba pred takšnimi ranljivostmi zagotoviti, da je macOS vedno posodobljen. Namestitev Applovih varnostnih popravkov takoj, ko so izdani, je najučinkovitejši način, da preprečite napadalcem, da bi izkoristili te pomanjkljivosti.

Nalaganje...