Microsoft Tehdit İstihbaratı, saldırganların Apple’ın Sistem Bütünlüğü Korumasını (SIP) atlamasına olanak tanıyan kritik bir macOS güvenlik açığını ortaya çıkardı.
CVE-2024-44243 olarak bilinen bu güvenlik açığı, üçüncü taraf çekirdek uzantılarını yüklemek için kullanılabilir ve bu da macOS kullanıcıları için ciddi güvenlik sorunlarına yol açabilir.
Apple, 11 Aralık 2024 güvenlik güncellemesi kapsamında bu güvenlik açığına yönelik bir yama yayınladı. Keşif, Microsoft ve güvenlik araştırmacısı Mickey Jin tarafından paralel olarak gerçekleştirildi; her ikisi de sorunu sorumlu bir şekilde Apple’a bildirdi.
Sistem Bütünlüğü Koruması (SIP) nedir?
Yaygın olarak SIP olarak adlandırılan Sistem Bütünlüğü Koruması, işletim sisteminin bütünlüğünü tehlikeye atabilecek sistem düzeyindeki işlemleri kısıtlamak için tasarlanmış temel bir macOS güvenlik özelliğidir.
SIP, root ayrıcalıklarına sahip kullanıcılara bile kısıtlamalar uygulayarak, macOS cihazlarının yetkisiz değişikliklerden korunmasına yardımcı olarak kötü amaçlı yazılımlara, rootkit’lere ve diğer tehditlere karşı daha sıkı güvenlik sağlar.
Ancak Microsoft’un raporu, başarılı bir SIP bypassının oluşturduğu kritik riskin altını çiziyor. İstismar edilen bir SIP güvenlik açığı, saldırganların şunları yapmasına olanak tanıyabilir:
- Kalıcı kötü amaçlı yazılımlar veya rootkit’ler yükleyin.
- MacOS’ları atlayın Şeffaflık, Rıza ve Kontrol (TCC) çerçeve.
- Tespit edilmekten kaçınmak için güvenlik çözümlerine müdahale edin.
- Ek istismarlar için saldırı yüzeyini genişletin.
CVE-2024-44243’ün Keşfi ve Analizi
Microsoft’un araştırması şunu ortaya çıkardı: Depolama Kiti arka plan programı (storagekitd)Disk durumu işlemlerini yöneten önemli bir macOS işlemi olan .
Kök olarak çalışan saldırganlar, yetkisiz işlemlere olanak tanıyan özel dosya sistemi paketlerini tanıtıp tetikleyerek bu güvenlik açığından yararlanabilir.
Araştırma ekibi, Tuxera, Paragon, EaseUS ve iBoysoft’a ait olanlar da dahil olmak üzere kötüye kullanıma açık çok sayıda üçüncü taraf dosya sistemi uygulamasını keşfetti.
Bu dosya sistemlerine özel kod entegre ederek ve Disk Yardımcı Programı veya diskutil komutunu kullanarak saldırganlar SIP’yi atlayarak Apple’ın çekirdek uzantısı hariç tutma listesini geçersiz kılabilir.
Bu, SIP’in önlemek için tasarladığı, uygun doğrulama olmadan keyfi süreçlerin çalıştırılması veya ayrıcalık kesintileri gibi yetkisiz eylemlere izin verdi.
SIP bypass’ı, macOS işletim sisteminin tamamını etkileyerek onu güvenilmez hale getirir ve çok çeşitli saldırılara karşı potansiyel olarak savunmasız hale getirir. Tehdit aktörleri bundan şu amaçlarla yararlanabilir:
- Kritik sistem dosyalarını değiştirin.
- Güvenlik araçlarını devre dışı bırakarak veya kurcalayarak tespitten kurtulun.
- Gelişmiş kötü amaçlı yazılımlar aracılığıyla sistemde kalıcı olun.
Araştırma, macOS güvenlik mekanizmalarının karşılaştığı daha geniş bir zorluğun altını çiziyor: Üçüncü taraf çekirdek kodunu kısıtlamak sistem güvenilirliğini artırırken, izleme araçlarının çekirdek düzeyindeki görünürlüğünü sınırlayarak karmaşık saldırıların tespit edilmesini zorlaştırıyor.
Microsoft’un Tespit ve Azaltmadaki Rolü
Microsoft, CVE-2024-44243 güvenlik açığını belirlemek amacıyla Uç Nokta için Microsoft Defender aracılığıyla gelişmiş izleme tekniklerinden yararlandı.
Ekip, kritik sistem işlevlerini gerçekleştiren süreçlere verilen izinler olan özel yetkilerle süreçleri proaktif bir şekilde izledi.
Com.apple.rootless.install.heritable gibi bu yetkiler, saldırganlar tarafından kötüye kullanıldığında SIP bypass’larına yol açabilir.
Microsoft, Storagekitd gibi yetkili servislerin anormal alt süreçlerini analiz ederek güvenlik açığını başarıyla işaretledi.
Uç Nokta için Microsoft Defender, potansiyel SIP atlama girişimlerine karşı gerçek zamanlı uyarılar sağlayarak kuruluşların yeni ortaya çıkan tehditlerin önünde kalmasını sağlar.
Ayrıca Microsoft Defender Güvenlik Açığı Yönetimi, CVE-2024-44243 gibi güvenlik açıklarının hızlı bir şekilde algılanıp çözülmesine yardımcı olarak kullanıcılar için kapsamlı koruma sağlar.
Apple’ın Düzeltmesi ve Sorumlu Açıklaması
Güvenlik açığı Apple’a sorumlu bir şekilde bildirildi. Koordineli Güvenlik Açığı Açıklaması (CVD) Microsoft Güvenlik Açığı Araştırması (MSVR) aracılığıyla işlem.
Apple, Aralık 2024 güvenlik güncellemesinde CVE-2024-44243’ü adresleyen bir yama sunmak için derhal Microsoft ve Mickey Jin ile işbirliği yaptı.
Bu güvenlik açığının oluşturduğu riski azaltmak için macOS kullanıcılarının sistemlerini derhal güncellemeleri isteniyor.
Microsoft, güvenlik atlama potansiyelleri göz önüne alındığında, anormal davranışlara karşı özel olarak adlandırılmış süreçlerin izlenmesinin önemini vurguladı.
Geçmişteki güvenlik açıkları (örneğin, “Shrootless” ve “Migren”), ayrıcalıklı süreçlere bağlı yetkilerin saldırganlar tarafından nasıl istismar edilebileceğinin altını çizdi.
Şirket ayrıca savunmayı güçlendirmek ve sorumlu açıklamayı sağlamak için güvenlik topluluğu içindeki işbirlikçi çabaların önemini de yineledi.
MacOS Sistemlerini Korumak: Kullanıcıların Yapabilecekleri
Potansiyel güvenlik tehditlerine karşı koruma sağlamak için:
- Sistemleri Güncelle: MacOS aygıtlarının Aralık 2024 güvenlik güncellemesiyle en son yazılımı çalıştırdığından emin olun.
- Güvenlik Araçlarını Kullanın: SIP atlama girişimlerini ve diğer anormal etkinlikleri izleyen Uç Nokta için Microsoft Defender gibi kapsamlı uç nokta koruma araçlarını dağıtın.
- Yetkili Süreçleri İzleyin: Kuruluşlar, saldırganların hedef alabileceği özel yetkilere sahip kritik süreçleri yakından gözlemlemelidir.
- En İyi Uygulamalara Uyun: Güvenilmeyen üçüncü taraf yazılımları çalıştırmaktan kaçının ve saldırı fırsatlarını azaltmak için yönetici ayrıcalıklarını sınırlayın.
CVE-2024-44243’ün keşfi ve çözümü, sürekli güvenlik araştırması ve işbirliğinin önemini vurgulamaktadır.
Gelişmiş siber tehditler geliştikçe, proaktif tespit, sorumlu açıklama ve hızlı yama uygulama, modern işletim sistemlerinin bütünlüğünü korumak açısından kritik öneme sahip olmaya devam ediyor.
Apple’ın bu güvenlik açığına hızlı tepki vermesi, cihazların ortaya çıkan risklere karşı korunmasında kolektif eylemin gücünü gösteriyor.
Investigate Real-World Malicious Links, Malware & Phishing Attacks With ANY.RUN – Try for Free