CVE-2024-44243 macOS Vulnerability
Ang Microsoft ay nagsiwalat ng isang kahinaan sa seguridad sa Apple macOS na, kung pinagsamantalahan, maaaring pinayagan ang isang hacker na may root access na i-bypass ang System Integrity Protection (SIP). Ang kapintasan na ito ay magbibigay-daan sa hindi awtorisadong pag-install ng mga sirang driver ng kernel sa pamamagitan ng mga extension ng kernel ng third-party, na makabuluhang nakompromiso ang seguridad ng system.
Talaan ng mga Nilalaman
Ang Mga Detalye ng CVE-2024-44243
Ang kahinaan, na kinilala bilang CVE-2024-44243, ay may CVSS severity score na 5.5 at ikinategorya bilang isang medium-risk na isyu. Tinutugunan ng Apple ang kapintasan na ito sa pag-update ng macOS Sequoia 15.2 noong nakaraang buwan. Inilarawan ito ng kumpanya bilang isang 'isyu sa pagsasaayos' na maaaring magpapahintulot sa isang hindi ligtas na aplikasyon na baguhin ang mga protektadong lugar ng file system, na epektibong nagpapahina sa mga pangunahing proteksyon sa seguridad.
Ang Mga Panganib ng Paglampas sa SIP
Ang System Integrity Protection, na kilala rin bilang 'walang ugat,' ay isang pangunahing mekanismo ng seguridad ng macOS na idinisenyo upang maiwasan ang mga hindi awtorisadong pagbabago sa mga kritikal na bahagi ng system. Sa pamamagitan ng pag-bypass sa SIP, maaaring mag-install ang mga attacker ng mga paulit-ulit na pagbabanta gaya ng mga rootkit, iwasan ang Transparency, Consent, and Control (TCC) framework ng Apple at buksan ang pinto para sa karagdagang pagsasamantala.
Paano Pinoprotektahan ng SIP ang macOS
Gumagana ang SIP sa pamamagitan ng pagpapatupad ng mahigpit na mga kontrol sa pag-access sa mga mahahalagang direktoryo, kabilang ang /System, /usr, /bin, /sbin, at /var. Nililimitahan nito ang mga pagbabago sa mga lugar na ito sa mga prosesong nilagdaan lamang ng Apple na may mga partikular na karapatan, tulad ng mga pag-update ng software at mga installer ng system. Pinipigilan ng pananggalang na ito ang parehong mga gumagamit at umaatake mula sa pakikialam sa pangunahing pagpapagana ng macOS.
Mga Karapat-dapat sa SIP: Isang Tabak na May Dalawang Talim
Nagbibigay ang Apple ng dalawang pangunahing karapatan sa SIP na kumokontrol sa mga pagbabago:
- com.apple.rootless.install : Nagbibigay ng pahintulot na i-bypass ang mga paghihigpit sa file system ng SIP para sa isang partikular na proseso.
- com.apple.rootless.install.heritable: Pinapalawak ang pahintulot ng bypass sa proseso at sa lahat ng proseso ng anak nito.
Ang pagsasamantala sa mga karapatang ito ay maaaring magbigay-daan sa mga umaatake na i-override ang mga proteksyon ng SIP, na ginagawa itong isang kritikal na alalahanin sa seguridad.
Ang Pagsasamantala: Paano Maiiwasan ng mga Attacker ang SIP
Ang bagong natuklasang SIP bypass, katulad ng mga nakaraang pagsasamantala tulad ng CVE-2021-30892 (Shrootless) at CVE-2023-32369 (Migraine), ay gumagamit ng 'com.apple.rootless.install.heritable' na karapatan sa loob ng daemon ng Storage Kit ng macOS (storagekitd ).
Sa pamamagitan ng pag-abuso sa kakayahan ng storagekitd na maglunsad ng mga arbitrary na proseso nang walang validation, maaaring magpasok ang mga attacker ng isang nagbabantang file system bundle sa /Library/Filesystems. Magbibigay-daan ito sa kanila na i-override ang mga binary na naka-link sa Disk Utility ng macOS, na nag-trigger ng pag-atake sa panahon ng mga operasyon tulad ng pag-aayos ng disk. Bukod pa rito, maaaring samantalahin ng root user ang kapintasan na ito para magsagawa ng hindi awtorisadong code, na ganap na umiiwas sa mga proteksyon ng SIP.
Ang Patuloy na Mga Natuklasan sa Seguridad ng Microsoft
Ang pagtuklas na ito ay sumusunod sa naunang ulat ng Microsoft sa isa pang kahinaan sa macOS sa Transparency, Consent, and Control (TCC) framework (CVE-2024-44133, aka HM Surf). Ang kapintasan na iyon, na may parehong marka ng CVSS na 5.5, ay maaaring pinagsamantalahan upang ma-access ang sensitibong data ng user. Ang paulit-ulit na pag-target ng mga hakbang sa seguridad ng macOS ay nagpapakita ng pangangailangan para sa patuloy na pagbabantay at pag-patch.
Ang Mas Malaking Larawan: Bakit Mahalaga ang SIP
Sa pamamagitan ng paghihigpit sa mga extension ng kernel ng third-party, pinapahusay ng Apple ang katatagan at seguridad ng macOS. Gayunpaman, ang pag-bypass sa SIP ay nakompromiso ang mga proteksyong ito, na ginagawang vulnerable ang system sa mga advanced na banta. Kung hindi pinagana ang SIP, maaaring mawalan din ng visibility ang mga solusyon sa seguridad, na nagpapahintulot sa mga umaatake na manipulahin o i-disable ang mga tool sa seguridad nang hindi napapansin.
Isang Pangunahing Target para sa mga Attacker
Ang SIP ay nananatiling isang mataas na halaga na target para sa mga mananaliksik sa seguridad at mga aktor ng pagbabanta. Ipinapalagay ng marami sa mga panseguridad na panseguridad ng Apple na ang SIP ay hindi malalampasan, na ginagawang isang makabuluhang tagumpay ang anumang pagsasamantala. Maaaring payagan ng mga matagumpay na pag-atake ang mga hacker na maglagay ng mga malisyosong file sa mga protektadong direktoryo, itago ang aktibidad mula sa mga tool sa seguridad at ganap na laktawan ang mga senyas sa seguridad ng macOS.
Manatiling Protektado: Bakit Mahalaga ang Mga Update
Ang mga umaatake ay kilala na gumagamit ng mga taktika ng social engineering upang manipulahin ang mga user sa pagbibigay ng mga hindi kinakailangang pahintulot. Gayunpaman, ang pagsasamantala sa SIP ay maaaring ganap na maalis ang pangangailangan para sa pakikipag-ugnayan ng user. Dahil sa pangunahing tungkulin ng SIP sa seguridad ng macOS, ang pinakamahusay na depensa laban sa mga ganitong kahinaan ay ang pagtiyak na ang macOS ay palaging napapanahon. Ang pag-install ng mga patch ng seguridad ng Apple sa sandaling mailabas ang mga ito ay ang pinaka-epektibong paraan upang pigilan ang mga umaatake sa pagsasamantala sa mga bahid na ito.