ใบเสนอราคาส่วนลดใบอนุญาตหลายใบ
ปัญหา ช่องโหว่ macOS CVE-2024-44243

ช่องโหว่ macOS CVE-2024-44243

โดย Mezo ใน ปัญหา
แปลเป็น:
ภาษาไทย

Microsoft เปิดเผยช่องโหว่ด้านความปลอดภัยใน macOS ของ Apple ซึ่งหากถูกโจมตี อาจทำให้แฮกเกอร์ที่มีสิทธิ์ระดับรูทสามารถข้ามการป้องกันความสมบูรณ์ของระบบ (SIP) ได้ ช่องโหว่นี้จะทำให้สามารถติดตั้งไดรเวอร์เคอร์เนลที่เสียหายโดยไม่ได้รับอนุญาตผ่านส่วนขยายเคอร์เนลของบริษัทอื่น ซึ่งจะส่งผลกระทบต่อความปลอดภัยของระบบอย่างมาก

รายละเอียดของ CVE-2024-44243

ช่องโหว่ดังกล่าวซึ่งระบุเป็น CVE-2024-44243 มีคะแนนความรุนแรงของ CVSS อยู่ที่ 5.5 และจัดอยู่ในประเภทปัญหาความเสี่ยงปานกลาง Apple ได้แก้ไขข้อบกพร่องนี้ในการอัปเดต macOS Sequoia 15.2 เมื่อเดือนที่แล้ว โดยบริษัทอธิบายว่าเป็น "ปัญหาการกำหนดค่า" ที่อาจทำให้แอปพลิเคชันที่ไม่ปลอดภัยสามารถแก้ไขพื้นที่ที่ได้รับการป้องกันของระบบไฟล์ ส่งผลให้การป้องกันความปลอดภัยหลักอ่อนแอลง

ความเสี่ยงจากการหลีกเลี่ยง SIP

การป้องกันความสมบูรณ์ของระบบหรือที่เรียกว่า "ไร้รูท" เป็นกลไกรักษาความปลอดภัยพื้นฐานของ macOS ที่ออกแบบมาเพื่อป้องกันการปรับเปลี่ยนส่วนประกอบระบบที่สำคัญโดยไม่ได้รับอนุญาต ด้วยการหลีกเลี่ยง SIP ผู้โจมตีสามารถติดตั้งภัยคุกคามอย่างต่อเนื่อง เช่น รูทคิท หลบเลี่ยงกรอบงาน Transparency, Consent, and Control (TCC) ของ Apple และเปิดช่องให้มีการใช้ประโยชน์เพิ่มเติม

SIP ปกป้อง macOS ได้อย่างไร

SIP ทำงานโดยบังคับใช้การควบคุมการเข้าถึงที่เข้มงวดกับไดเรกทอรีที่จำเป็น ได้แก่ /System, /usr, /bin, /sbin และ /var โดยจำกัดการแก้ไขพื้นที่เหล่านี้ให้เฉพาะกับกระบวนการที่ลงนามโดย Apple ที่มีสิทธิ์เฉพาะ เช่น การอัปเดตซอฟต์แวร์และตัวติดตั้งระบบ การป้องกันนี้ป้องกันไม่ให้ทั้งผู้ใช้และผู้โจมตีแทรกแซงฟังก์ชันหลักของ macOS

สิทธิ SIP: ดาบสองคม

Apple มอบสิทธิ์ SIP สำคัญสองประการที่ควบคุมการปรับเปลี่ยน:

  • com.apple.rootless.install : ให้สิทธิ์ในการข้ามข้อจำกัดระบบไฟล์ของ SIP สำหรับกระบวนการเฉพาะ
  • com.apple.rootless.install.heritable: ขยายสิทธิ์การบายพาสให้กับกระบวนการและกระบวนการย่อยทั้งหมด

การใช้ประโยชน์จากสิทธิ์เหล่านี้อาจทำให้ผู้โจมตีสามารถละเมิดการป้องกัน SIP ได้ ซึ่งทำให้กลายเป็นปัญหาความปลอดภัยที่สำคัญ

การใช้ประโยชน์: ผู้โจมตีสามารถหลีกเลี่ยง SIP ได้อย่างไร

วิธีหลีกเลี่ยง SIP ที่เพิ่งค้นพบ ซึ่งคล้ายกับช่องโหว่ในอดีต เช่น CVE-2021-30892 (Shrootless) และ CVE-2023-32369 (Migraine) โดยอาศัยสิทธิ์ 'com.apple.rootless.install.heritable' ภายในเดมอน Storage Kit ของ macOS (storagekitd)

การโจมตีด้วยการใช้ความสามารถของ storagekitd ในการเปิดใช้งานกระบวนการตามอำเภอใจโดยไม่มีการตรวจสอบ จะทำให้ผู้โจมตีสามารถใส่ชุดไฟล์ระบบที่เป็นอันตรายลงใน /Library/Filesystems ได้ ซึ่งจะทำให้พวกเขาสามารถเขียนทับไบนารีที่เชื่อมโยงกับ Disk Utility ของ macOS ได้ ซึ่งจะทำให้เกิดการโจมตีระหว่างการดำเนินการ เช่น การซ่อมแซมดิสก์ นอกจากนี้ ผู้ใช้ root ยังสามารถใช้ประโยชน์จากข้อบกพร่องนี้เพื่อเรียกใช้โค้ดที่ไม่ได้รับอนุญาต ซึ่งจะทำให้หลีกเลี่ยงการป้องกัน SIP ได้ทั้งหมด

การค้นพบด้านความปลอดภัยอย่างต่อเนื่องของ Microsoft

การค้นพบนี้เกิดขึ้นหลังจากที่ Microsoft ได้รายงานก่อนหน้านี้เกี่ยวกับช่องโหว่ macOS อีกจุดหนึ่งในกรอบงาน Transparency, Consent, and Control (TCC) (CVE-2024-44133 หรือที่เรียกอีกอย่างว่า HM Surf) ช่องโหว่ดังกล่าวซึ่งมีคะแนน CVSS เท่ากันที่ 5.5 อาจถูกใช้ประโยชน์เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ การกำหนดเป้าหมายมาตรการรักษาความปลอดภัย macOS ซ้ำแล้วซ้ำเล่าเน้นย้ำถึงความจำเป็นในการเฝ้าระวังและแก้ไขอย่างต่อเนื่อง

ภาพรวม: เหตุใด SIP จึงมีความสำคัญ

การจำกัดส่วนขยายเคอร์เนลของบริษัทอื่นทำให้ Apple สามารถเพิ่มความเสถียรและความปลอดภัยของ macOS ได้ อย่างไรก็ตาม การหลีกเลี่ยง SIP จะทำให้การป้องกันเหล่านี้ลดลง ทำให้ระบบเสี่ยงต่อภัยคุกคามขั้นสูง หากปิดใช้งาน SIP โซลูชันด้านความปลอดภัยอาจสูญเสียการมองเห็น ทำให้ผู้โจมตีสามารถเข้าควบคุมหรือปิดใช้งานเครื่องมือด้านความปลอดภัยโดยไม่มีใครสังเกตเห็นได้

เป้าหมายหลักสำหรับผู้โจมตี

SIP ยังคงเป็นเป้าหมายที่มีมูลค่าสูงสำหรับนักวิจัยด้านความปลอดภัยและผู้ก่อภัยคุกคาม ระบบป้องกันความปลอดภัยของ Apple จำนวนมากถือว่าไม่สามารถข้าม SIP ได้ ทำให้การโจมตีใดๆ ก็ตามถือเป็นความก้าวหน้าที่สำคัญ การโจมตีที่ประสบความสำเร็จอาจทำให้แฮกเกอร์วางไฟล์ที่เป็นอันตรายในไดเร็กทอรีที่ได้รับการป้องกัน ซ่อนกิจกรรมจากเครื่องมือด้านความปลอดภัย และข้ามการแจ้งเตือนด้านความปลอดภัยของ macOS ได้ทั้งหมด

การได้รับการปกป้อง: เหตุใดการอัปเดตจึงมีความจำเป็น

ผู้โจมตีมักใช้กลวิธีทางวิศวกรรมสังคมเพื่อหลอกล่อให้ผู้ใช้ให้สิทธิ์ที่ไม่จำเป็น อย่างไรก็ตาม การโจมตี SIP อาจช่วยลดความจำเป็นในการโต้ตอบกับผู้ใช้ได้โดยสิ้นเชิง เมื่อพิจารณาถึงบทบาทพื้นฐานของ SIP ในการรักษาความปลอดภัย macOS การป้องกันที่ดีที่สุดต่อช่องโหว่ดังกล่าวคือการทำให้แน่ใจว่า macOS ได้รับการอัปเดตอยู่เสมอ การติดตั้งแพตช์ความปลอดภัยของ Apple ทันทีที่มีการเผยแพร่ถือเป็นวิธีที่มีประสิทธิภาพที่สุดในการป้องกันไม่ให้ผู้โจมตีใช้ประโยชน์จากข้อบกพร่องเหล่านี้

กำลังโหลด...