CVE-2024-44243 macOS Güvenlik Açığı
Microsoft, Apple macOS'ta, istismar edilmesi durumunda kök erişime sahip bir bilgisayar korsanının Sistem Bütünlüğü Koruması'nı (SIP) atlatmasına izin verebilecek bir güvenlik açığını ortaya çıkardı. Bu kusur, üçüncü taraf çekirdek uzantıları aracılığıyla bozuk çekirdek sürücülerinin yetkisiz yüklenmesine olanak tanıyarak sistem güvenliğini önemli ölçüde tehlikeye atabilirdi.
İçindekiler
CVE-2024-44243 Ayrıntıları
CVE-2024-44243 olarak tanımlanan güvenlik açığı, 5,5 CVSS önem puanı taşıyordu ve orta riskli bir sorun olarak kategorize edildi. Apple, bu açığı geçen ay macOS Sequoia 15.2 güncellemesinde ele aldı. Şirket bunu, güvenli olmayan bir uygulamanın dosya sisteminin korunan alanlarını değiştirmesine izin verebilecek ve temel güvenlik korumalarını etkili bir şekilde zayıflatabilecek bir 'yapılandırma sorunu' olarak tanımladı.
SIP'yi Atlatmanın Riskleri
'Köksüz' olarak da bilinen Sistem Bütünlüğü Koruması, kritik sistem bileşenlerinde yetkisiz değişiklikleri önlemek için tasarlanmış temel bir macOS güvenlik mekanizmasıdır. Saldırganlar SIP'yi atlatarak, kök araç takımları gibi kalıcı tehditler yükleyebilir, Apple'ın Şeffaflık, Onay ve Kontrol (TCC) çerçevesinden kaçabilir ve daha fazla istismara kapı açabilir.
SIP macOS'u Nasıl Korur
SIP, /System, /usr, /bin, /sbin ve /var gibi temel dizinler üzerinde sıkı erişim kontrolleri uygulayarak çalışır. Bu alanlardaki değişiklikleri yalnızca yazılım güncellemeleri ve sistem yükleyicileri gibi belirli yetkilere sahip Apple imzalı işlemlerle sınırlar. Bu güvenlik önlemi hem kullanıcıların hem de saldırganların macOS'un temel işlevselliğine müdahale etmesini önler.
SIP Hakları: İki Tarafı Keskin Bir Kılıç
Apple, değişiklikleri düzenleyen iki temel SIP hakkı sağlar:
- com.apple.rootless.install : Belirli bir işlem için SIP'nin dosya sistemi kısıtlamalarını aşma izni verir.
- com.apple.rootless.install.heritable: Baypas iznini işleme ve tüm alt işlemlerine genişletir.
Bu hakların kötüye kullanılması, saldırganların SIP korumalarını geçersiz kılmasına olanak tanıyabilir ve bu da onu kritik bir güvenlik endişesi haline getirebilir.
Saldırı: Saldırganlar SIP'yi Nasıl Atlatabilir?
Yeni keşfedilen SIP atlatma, geçmişteki CVE-2021-30892 (Shrootless) ve CVE-2023-32369 (Migraine) gibi istismarlara benzer şekilde, macOS'un Storage Kit daemon'ındaki (storagekitd) 'com.apple.rootless.install.heritable' yetkisini kullanıyor.
storagekitd'nin doğrulama olmadan keyfi işlemleri başlatma yeteneğini kötüye kullanarak saldırganlar /Library/Filesystems'a tehdit edici bir dosya sistemi paketi yerleştirebilirler. Bu, macOS'un Disk Utility'sine bağlı ikili dosyaları geçersiz kılmalarına ve disk onarımı gibi işlemler sırasında bir saldırıyı tetiklemelerine olanak tanır. Ek olarak, bir kök kullanıcı bu açığı kullanarak yetkisiz kod yürütebilir ve SIP korumalarını tamamen atlatabilir.
Microsoft'un Devam Eden Güvenlik Bulguları
Bu keşif, Microsoft'un Şeffaflık, Onay ve Kontrol (TCC) çerçevesindeki (CVE-2024-44133, diğer adıyla HM Surf) başka bir macOS güvenlik açığı hakkındaki önceki raporunu takip ediyor. Aynı CVSS puanı olan 5,5'lik bu kusur, hassas kullanıcı verilerine erişmek için kullanılmış olabilir. macOS güvenlik önlemlerinin tekrar tekrar hedef alınması, sürekli dikkat ve yama ihtiyacını vurgular.
Daha Büyük Resim: SIP Neden Önemlidir?
Üçüncü taraf çekirdek uzantılarını kısıtlayarak Apple, macOS kararlılığını ve güvenliğini artırır. Ancak, SIP'yi atlamak bu korumaları tehlikeye atar ve sistemi gelişmiş tehditlere karşı savunmasız hale getirir. SIP devre dışı bırakılırsa, güvenlik çözümleri de görünürlüğünü kaybedebilir ve saldırganların güvenlik araçlarını fark edilmeden manipüle etmesine veya devre dışı bırakmasına olanak tanır.
Saldırganlar İçin Birincil Hedef
SIP, güvenlik araştırmacıları ve tehdit aktörleri için yüksek değerli bir hedef olmaya devam ediyor. Apple'ın güvenlik savunmalarının çoğu, SIP'nin atlatılamayacağını varsayıyor ve bu da herhangi bir istismarı önemli bir atılım haline getiriyor. Başarılı saldırılar, bilgisayar korsanlarının kötü amaçlı dosyaları korumalı dizinlere yerleştirmesine, etkinliği güvenlik araçlarından gizlemesine ve macOS güvenlik istemlerini tamamen atlatmasına olanak tanıyabilir.
Korunmayı Sürdürmek: Güncellemeler Neden Önemlidir?
Saldırganların, kullanıcıları gereksiz izinler vermeye yönlendirmek için sosyal mühendislik taktikleri kullandıkları bilinmektedir. Ancak, SIP'nin bir istismarı, kullanıcı etkileşimi ihtiyacını tamamen ortadan kaldırabilir. SIP'nin macOS güvenliğindeki temel rolü göz önüne alındığında, bu tür güvenlik açıklarına karşı en iyi savunma, macOS'un her zaman güncel olduğundan emin olmaktır. Apple'ın güvenlik yamalarını yayınlanır yayınlanmaz yüklemek, saldırganların bu kusurları istismar etmesini önlemenin en etkili yoludur.