Знижка на кілька ліцензій
Випуск CVE-2024-44243 Уразливість macOS

CVE-2024-44243 Уразливість macOS

До Mezo року в Випуск році
Перекласти на:
Українська

Корпорація Майкрософт виявила вразливість безпеки в Apple macOS, яка, якщо її використати, могла дозволити хакеру з кореневим доступом обійти захист цілісності системи (SIP). Ця помилка могла б уможливити несанкціоноване встановлення пошкоджених драйверів ядра за допомогою сторонніх розширень ядра, суттєво підриваючи безпеку системи.

Деталі CVE-2024-44243

Уразливість, ідентифікована як CVE-2024-44243, мала оцінку серйозності CVSS 5,5 і була віднесена до категорії середнього ризику. Apple усунула цю проблему в оновленні macOS Sequoia 15.2 минулого місяця. Компанія описала це як «проблему конфігурації», яка може дозволити небезпечній програмі змінювати захищені області файлової системи, фактично послаблюючи основний захист безпеки.

Ризики обходу SIP

Захист цілісності системи, також відомий як «безкорінний», — це фундаментальний механізм безпеки macOS, призначений для запобігання несанкціонованим модифікаціям критичних компонентів системи. Обходячи протокол SIP, зловмисники можуть інсталювати такі постійні загрози, як руткіти, обійти структуру Apple Transparency, Consent and Control (TCC) і відкрити двері для подальшого використання.

Як SIP захищає macOS

SIP працює шляхом забезпечення суворого контролю доступу до основних каталогів, включаючи /System, /usr, /bin, /sbin і /var. Він обмежує модифікації цих областей лише підписаними Apple процесами з певними правами, такими як оновлення програмного забезпечення та інсталятори системи. Цей запобіжний засіб запобігає втручанню користувачів і зловмисників у основні функції macOS.

Права SIP: Палиця з двома кінцями

Apple надає два ключові права SIP, які регулюють зміни:

  • com.apple.rootless.install : Надає дозвіл на обхід обмежень файлової системи SIP для певного процесу.
  • com.apple.rootless.install.heritable: розширює дозвіл на обхід процесу та всіх його дочірніх процесів.

Використання цих прав може дозволити зловмисникам перевизначати захист SIP, що робить це критичною проблемою безпеки.

Експлойт: як зловмисники можуть обійти SIP

Нещодавно виявлений обхід SIP, подібний до попередніх експлойтів, таких як CVE-2021-30892 (Shrootless) і CVE-2023-32369 (Migraine), використовує права «com.apple.rootless.install.heritable» у демоні Storage Kit macOS (storagekitd). ).

Зловживаючи здатністю storagekitd запускати довільні процеси без перевірки, зловмисники можуть ввести загрозливий комплект файлової системи в /Library/Filesystems. Це дозволить їм перевизначати двійкові файли, пов’язані з Дисковою утилітою macOS, ініціюючи атаку під час таких операцій, як відновлення диска. Крім того, користувач root може використати цю помилку для виконання несанкціонованого коду, повністю обходячи захист SIP.

Постійні результати безпеки Microsoft

Це відкриття стало результатом попереднього звіту Microsoft про іншу вразливість macOS у структурі прозорості, згоди та контролю (TCC) (CVE-2024-44133, також HM Surf). Цю помилку з тією ж оцінкою CVSS 5,5 можна було використати для доступу до конфіденційних даних користувача. Неодноразове застосування заходів безпеки macOS підкреслює необхідність постійної пильності та виправлення.

Більша картина: чому SIP важливий

Обмежуючи розширення ядра сторонніх розробників, Apple підвищує стабільність і безпеку macOS. Однак обхід протоколу SIP порушує ці засоби захисту, роблячи систему вразливою до розширених загроз. Якщо SIP вимкнено, рішення безпеки також можуть втратити видимість, дозволяючи зловмисникам маніпулювати або вимикати інструменти безпеки непомітно.

Головна мішень для зловмисників

SIP залишається важливою метою як для дослідників безпеки, так і для учасників загроз. Багато засобів захисту Apple припускають, що SIP неможливо обійти, що робить будь-який експлойт значним проривом. Успішні атаки можуть дозволити хакерам розміщувати шкідливі файли в захищених каталогах, приховувати дії від інструментів безпеки та повністю обходити підказки безпеки macOS.

Захист: чому оновлення необхідні

Відомо, що зловмисники використовують тактику соціальної інженерії, щоб змусити користувачів надавати непотрібні дозволи. Однак використання SIP може повністю позбавити вас взаємодії з користувачем. Враховуючи фундаментальну роль SIP у безпеці macOS, найкращим захистом від таких вразливостей є забезпечення постійного оновлення macOS. Встановлення патчів безпеки Apple одразу після їх випуску є найефективнішим способом запобігти використанню зловмисниками цих недоліків.

Завантаження...