Lỗ hổng CVE-2024-44243 của macOS
Microsoft đã tiết lộ một lỗ hổng bảo mật trong Apple macOS, nếu bị khai thác, có thể cho phép tin tặc có quyền truy cập root vượt qua System Integrity Protection (SIP). Lỗ hổng này sẽ cho phép cài đặt trái phép các trình điều khiển kernel bị hỏng thông qua tiện ích mở rộng kernel của bên thứ ba, làm ảnh hưởng đáng kể đến bảo mật hệ thống.
Mục lục
Chi tiết về CVE-2024-44243
Lỗ hổng bảo mật, được xác định là CVE-2024-44243, có điểm CVSS là 5,5 và được phân loại là sự cố có rủi ro trung bình. Apple đã giải quyết lỗ hổng này trong bản cập nhật macOS Sequoia 15.2 vào tháng trước. Công ty mô tả đây là 'sự cố cấu hình' có thể cho phép một ứng dụng không an toàn sửa đổi các khu vực được bảo vệ của hệ thống tệp, làm suy yếu hiệu quả các biện pháp bảo vệ bảo mật cốt lõi.
Rủi ro khi bỏ qua SIP
System Integrity Protection, còn được gọi là 'rootless', là một cơ chế bảo mật macOS cơ bản được thiết kế để ngăn chặn các sửa đổi trái phép đối với các thành phần hệ thống quan trọng. Bằng cách bỏ qua SIP, kẻ tấn công có thể cài đặt các mối đe dọa dai dẳng như rootkit, trốn tránh khuôn khổ Minh bạch, Đồng ý và Kiểm soát (TCC) của Apple và mở ra cánh cửa cho việc khai thác thêm.
SIP bảo vệ macOS như thế nào
SIP hoạt động bằng cách thực thi các biện pháp kiểm soát truy cập nghiêm ngặt đối với các thư mục thiết yếu, bao gồm /System, /usr, /bin, /sbin và /var. SIP giới hạn việc sửa đổi các khu vực này chỉ đối với các quy trình được Apple ký với các quyền cụ thể, chẳng hạn như cập nhật phần mềm và trình cài đặt hệ thống. Biện pháp bảo vệ này ngăn chặn cả người dùng và kẻ tấn công can thiệp vào chức năng cốt lõi của macOS.
Quyền SIP: Con dao hai lưỡi
Apple cung cấp hai quyền SIP chính để điều chỉnh các sửa đổi:
- com.apple.rootless.install : Cấp quyền bỏ qua các hạn chế hệ thống tệp của SIP cho một quy trình cụ thể.
- com.apple.rootless.install.heritable: Mở rộng quyền bỏ qua cho quy trình và tất cả các quy trình con của nó.
Việc khai thác các quyền này có thể cho phép kẻ tấn công vượt qua các biện pháp bảo vệ SIP, khiến đây trở thành mối lo ngại bảo mật nghiêm trọng.
Khai thác: Kẻ tấn công có thể bỏ qua SIP như thế nào
Phương pháp bỏ qua SIP mới được phát hiện, tương tự như các lỗ hổng trước đây như CVE-2021-30892 (Shrootless) và CVE-2023-32369 (Migraine), tận dụng quyền 'com.apple.rootless.install.heritable' trong daemon Storage Kit của macOS (storagekitd).
Bằng cách lợi dụng khả năng khởi chạy các quy trình tùy ý mà không cần xác thực của storagekitd, kẻ tấn công có thể đưa một gói hệ thống tệp đe dọa vào /Library/Filesystems. Điều này sẽ cho phép chúng ghi đè các tệp nhị phân được liên kết với Disk Utility của macOS, kích hoạt một cuộc tấn công trong các hoạt động như sửa chữa đĩa. Ngoài ra, người dùng root có thể khai thác lỗ hổng này để thực thi mã trái phép, hoàn toàn tránh được các biện pháp bảo vệ SIP.
Những phát hiện liên tục về bảo mật của Microsoft
Phát hiện này tiếp nối báo cáo trước đó của Microsoft về một lỗ hổng macOS khác trong khuôn khổ Minh bạch, Đồng ý và Kiểm soát (TCC) (CVE-2024-44133, hay còn gọi là HM Surf). Lỗ hổng đó, với cùng điểm CVSS là 5,5, có thể đã bị khai thác để truy cập dữ liệu người dùng nhạy cảm. Việc nhắm mục tiêu liên tục vào các biện pháp bảo mật macOS làm nổi bật nhu cầu phải liên tục cảnh giác và vá lỗi.
Bức tranh toàn cảnh: Tại sao SIP lại quan trọng
Bằng cách hạn chế các tiện ích mở rộng kernel của bên thứ ba, Apple tăng cường tính ổn định và bảo mật của macOS. Tuy nhiên, việc bỏ qua SIP sẽ làm tổn hại đến các biện pháp bảo vệ này, khiến hệ thống dễ bị các mối đe dọa nâng cao. Nếu SIP bị vô hiệu hóa, các giải pháp bảo mật cũng có thể mất khả năng hiển thị, cho phép kẻ tấn công thao túng hoặc vô hiệu hóa các công cụ bảo mật mà không bị phát hiện.
Mục tiêu chính của kẻ tấn công
SIP vẫn là mục tiêu có giá trị cao đối với các nhà nghiên cứu bảo mật và các tác nhân đe dọa. Nhiều biện pháp phòng thủ bảo mật của Apple cho rằng SIP không thể bị bỏ qua, khiến bất kỳ khai thác nào cũng trở thành một bước đột phá đáng kể. Các cuộc tấn công thành công có thể cho phép tin tặc đặt các tệp độc hại vào các thư mục được bảo vệ, ẩn hoạt động khỏi các công cụ bảo mật và bỏ qua hoàn toàn các lời nhắc bảo mật macOS.
Duy trì sự bảo vệ: Tại sao cập nhật là điều cần thiết
Kẻ tấn công được biết đến là sử dụng các chiến thuật kỹ thuật xã hội để thao túng người dùng cấp các quyền không cần thiết. Tuy nhiên, một khai thác SIP có thể loại bỏ hoàn toàn nhu cầu tương tác của người dùng. Với vai trò cơ bản của SIP trong bảo mật macOS, biện pháp phòng thủ tốt nhất chống lại các lỗ hổng như vậy là đảm bảo macOS luôn được cập nhật. Cài đặt các bản vá bảo mật của Apple ngay khi chúng được phát hành là cách hiệu quả nhất để ngăn chặn kẻ tấn công khai thác các lỗ hổng này.