Rabattoffert för flera licenser
Utfärda CVE-2024-44243 macOS-sårbarhet

CVE-2024-44243 macOS-sårbarhet

Med Mezo år Utfärda
Översätt till:
Svenska

Microsoft har avslöjat en säkerhetsrisk i Apple macOS som, om den utnyttjats, kunde ha tillåtit en hackare med root-åtkomst att kringgå System Integrity Protection (SIP). Detta fel skulle ha möjliggjort otillåten installation av skadade kärndrivrutiner genom kärntillägg från tredje part, vilket avsevärt äventyrar systemsäkerheten.

Detaljerna för CVE-2024-44243

Sårbarheten, identifierad som CVE-2024-44243, hade ett CVSS-allvarlighetspoäng på 5,5 och kategoriserades som ett problem med medelhög risk. Apple åtgärdade detta fel i macOS Sequoia 15.2-uppdateringen förra månaden. Företaget beskrev det som ett "konfigurationsproblem" som kunde tillåta en osäker applikation att modifiera skyddade områden i filsystemet, vilket effektivt försvagar kärnsäkerhetsskydden.

Riskerna med att kringgå SIP

Systemintegritetsskydd, även känt som "rotlöst", är en grundläggande macOS-säkerhetsmekanism utformad för att förhindra obehöriga ändringar av kritiska systemkomponenter. Genom att kringgå SIP kan angripare installera ihållande hot som rootkits, undvika Apples ramverk för transparens, samtycke och kontroll (TCC) och öppna dörren för ytterligare utnyttjande.

Hur SIP skyddar macOS

SIP fungerar genom att upprätthålla strikta åtkomstkontroller över viktiga kataloger, inklusive /System, /usr, /bin, /sbin och /var. Den begränsar ändringar av dessa områden till endast Apple-signerade processer med specifika rättigheter, såsom programuppdateringar och systeminstallationsprogram. Detta skydd förhindrar både användare och angripare från att manipulera macOS kärnfunktionalitet.

SIP-rättigheter: Ett tveeggat svärd

Apple tillhandahåller två viktiga SIP-rättigheter som reglerar ändringar:

  • com.apple.rootless.install : Ger tillstånd att kringgå SIP:s filsystembegränsningar för en specifik process.
  • com.apple.rootless.install.heritable: Utökar förbikopplingsbehörigheten till processen och alla dess underordnade processer.

Att utnyttja dessa rättigheter kan göra det möjligt för angripare att åsidosätta SIP-skydd, vilket gör det till ett kritiskt säkerhetsproblem.

Exploateringen: Hur angripare kunde kringgå SIP

Den nyupptäckta SIP-bypass, liknande tidigare exploateringar som CVE-2021-30892 (Shrootless) och CVE-2023-32369 (Migraine), utnyttjar "com.apple.rootless.install.heritable"-rätten i macOS Storage Kit-demon (storagekitd) ).

Genom att missbruka storagekitds förmåga att starta godtyckliga processer utan validering kan angripare introducera ett hotfullt filsystemspaket i /Library/Filesystems. Detta skulle göra det möjligt för dem att åsidosätta binärfiler kopplade till macOS Disk Utility, vilket utlöser en attack under operationer som diskreparation. Dessutom kan en rotanvändare utnyttja denna brist för att exekvera obehörig kod, och helt kringgå SIP-skydd.

Microsofts fortsatta säkerhetsresultat

Denna upptäckt följer Microsofts tidigare rapport om en annan macOS-sårbarhet i ramverket Transparency, Consent and Control (TCC) (CVE-2024-44133, aka HM Surf). Det felet, med samma CVSS-poäng på 5,5, kunde ha utnyttjats för att komma åt känslig användardata. Den upprepade inriktningen av macOS-säkerhetsåtgärder belyser behovet av kontinuerlig vaksamhet och patchning.

Den större bilden: Varför SIP betyder något

Genom att begränsa kärntillägg från tredje part förbättrar Apple macOS stabilitet och säkerhet. Men att kringgå SIP äventyrar dessa skydd, vilket gör systemet sårbart för avancerade hot. Om SIP är inaktiverat kan säkerhetslösningar också förlora synlighet, vilket gör att angripare kan manipulera eller inaktivera säkerhetsverktyg obemärkt.

Ett främsta mål för angripare

SIP är fortfarande ett värdefullt mål för säkerhetsforskare och hotaktörer. Många av Apples säkerhetsförsvar förutsätter att SIP inte kan kringgås, vilket gör någon exploatering till ett betydande genombrott. Framgångsrika attacker kan göra det möjligt för hackare att placera skadliga filer i skyddade kataloger, dölja aktivitet från säkerhetsverktyg och helt kringgå macOS-säkerhetsmeddelanden.

Håll dig skyddad: Varför uppdateringar är viktiga

Angripare är kända för att använda social ingenjörsteknik för att manipulera användare att ge onödiga behörigheter. En utnyttjande av SIP skulle dock kunna eliminera behovet av användarinteraktion helt och hållet. Med tanke på SIP:s grundläggande roll i macOS-säkerhet är det bästa försvaret mot sådana sårbarheter att säkerställa att macOS alltid är uppdaterad. Att installera Apples säkerhetskorrigeringar så fort de släpps är det mest effektiva sättet att förhindra angripare från att utnyttja dessa brister.

Läser in...