Yönetişim ve Risk Yönetimi, Yama Yönetimi, Güvenlik Açığı Değerlendirmesi ve Sızma Testi (VA/PT)
Microsoft, macOS Sistem Bütünlüğünü Koruma Özelliğini Etkileyen Ortaya Çıkarılan Kusur
Akşaya Asokan (asokan_akshaya) •
14 Ocak 2025
Apple, bilgisayar korsanlarının sistemlere kötü amaçlı yazılım bulaştırmak için üçüncü taraf çekirdek uzantıları aracılığıyla macOS’taki önemli bir güvenlik özelliğini atlamalarına olanak tanıyan bir güvenlik açığını kapattı.
Ayrıca bakınız: Talep Üzerine En Çok Kullanılabilen Güvenlik Açıklarını İlk Önce ve Hızlı Bir Şekilde Düzeltirim
Microsoft, sistem bütünlüğünü etkileyen işlemleri sınırlayan önemli bir güvenlik özelliği olan Apple’ın Sistem Bütünlüğü Korumasını etkileyen güvenlik açığını ortaya çıkardı. Bu kusurdan yararlanıldığında, bilgisayar korsanlarının rootkit yüklemesine, ayrıcalıklı erişime sahip kötü amaçlı yazılım oluşturmasına ve saldırı yüzeyini genişletmesine olanak sağlanabiliyor.
Apple, Microsoft’un şirketi uyarmasının ardından 11 Aralık’ta CVE-2024-44243 olarak takip edilen kusuru yamaladı.
Kusur, Sistem Bütünlüğü Korumasının, korumaları ve macOS uygulamalarına erişimi yöneten yetkilerle etkileşiminden kaynaklanıyor. Kusur özellikle sistem güncellemeleri, hata ayıklama yetenekleri, bellek izleme ve güvenlik uzantıları için kullanılan özel yetkilerle bağlantılıdır.
Microsoft araştırmacıları, “Bu özel yetkilerin birçoğu var ve bunların çoğu Apple tarafından belgelenmiyor. Ekibimiz, özel olarak yetkilendirilmiş süreçler tarafından anormal davranışların izlenmesindeki kritikliği tespit etti” dedi.
Araştırmacılar özellikle, bir işletim sisteminin çoklu görev yapmasını sağlayan alt işlemlere erişime izin veren “com.apple.rootless.install” ve “com.apple.rootless.install.hertiable” yetkilerini kullandılar.
Araştırmacılar, CVE’den yararlanmak için, com.apple.rootless.install.heritable yetkisiyle ilişkili Storagekitd çerçevesinin alt süreçlerini aramak için gelişmiş arama sorgu dilini kullandılar. Storagekitd, macOS’ta depolamayı yönetmekten sorumlu bir çerçevedir ve uygun doğrulama olmadan veya ayrıcalıkları azaltmadan rastgele işlemleri başlatabilir.
Storagekitd’li alt işlemler belirlendikten sonra araştırmacılar, ikili dosyaları geçersiz kılarak ve bunları Disk Yardımcı Programı uygulamasıyla tetikleyerek Sistem Bütünlüğü Koruması korumalarını atladı.
Microsoft araştırmacıları, “Root olarak çalışabilen bir saldırgan, yeni bir dosya sistemi paketini /Library/Filesystems’e bırakabileceğinden, daha sonra Storagekitd’yi özel ikili dosyalar oluşturmak için tetikleyebilir, dolayısıyla SIP’yi atlayabilir” dedi.
MacOS, SIP’yi kötü amaçlı yazılımlara karşı kritik bir koruma olarak kullandığından Microsoft, güvenlik özelliğini atlamanın tüm işletim sistemini riske atacağını söyledi. Microsoft araştırmacıları, diğer bir zorluğun da macOS çekirdek düzeyindeki güvenliğin görünürlüğünün daha düşük olması olduğunu ve bu durumun genellikle en son güvenlik açığı kullanılarak herhangi bir güvenliğin tespit edilmesini zorlaştırdığını ekledi.
Microsoft araştırmacıları, “Bu tür anormalliklerin proaktif izlenmesi çok önemlidir” dedi. “Gelişmiş algılama mekanizmalarından yararlanarak kuruluşlar, SIP’yi atlayan güvenlik açıklarından yararlanma girişimini gösterebilecek faaliyetlere ilişkin daha fazla görünürlük elde edebilir.”
En son güvenlik açığı, araştırmacıların macOS SIP özelliğindeki kusurları ortaya çıkardıkları ilk sefer de değil. Daha önce güvenlik araştırmacıları, CVE-2022-26712 olarak takip edilen ve SIP atlamayı mümkün kılan bir güvenlik açığını ortaya çıkarmıştı. Benzer şekilde TrendMicro, yazılım yükleyici paketlerini yüklemek için kullanılan macOS PackageKit çerçevesinde bir güvenlik açığı buldu.
Mart 2024’te Apple, bilgisayar korsanlarına çekirdekte okuma ve yazma yetenekleri sağlayan ve çekirdek bellek korumalarını atlatan iki kritik sıfır gün için güncellemeler yayınladı (bkz: Apple, iOS Çekirdeğindeki Sıfır Günlerin Doğada İstismara Uğramasını Düzeltiyor).
Çekirdek güvenliği ve erişimi, Ağustos 2024’teki CrowdStrike kesintisinden bu yana gündemdeydi. Dünya çapında yaklaşık 8,5 milyon Windows sistemini etkileyen kesinti, güvenlik şirketinin çekirdek düzeyinde hatalı bir yazılım güncellemesiyle tetiklendi.
Microsoft, çekirdek bütünlüğünü etkileyen mevcut güvenlik özelliklerini şu anda gözden geçiren teknoloji devleri arasında yer alıyor (bkz: Windows Güvenlik Zirvesi’nde Çekirdek Modu Mikroskop Altında).