Microsoft, Apple macOS’u etkileyen, şu anda yamalanmış bir güvenlik kusuruna ışık tuttu; bu kusur başarıyla kullanılırsa, “kök” olarak çalışan bir saldırganın işletim sisteminin Sistem Bütünlüğü Korumasını (SIP) atlamasına ve üçüncül yazılımları yükleyerek kötü amaçlı çekirdek sürücüleri yüklemesine olanak tanıyabilecekti. parti çekirdek uzantıları.
Söz konusu güvenlik açığı CVE-2024-44243 (CVSS puanı: 5,5), Apple tarafından geçen ay yayınlanan macOS Sequoia 15.2 kapsamında giderilen orta önemde bir hata. iPhone üreticisi bunu, kötü amaçlı bir uygulamanın dosya sisteminin korunan kısımlarını değiştirmesine izin verebilecek bir “yapılandırma sorunu” olarak tanımladı.
“SIP’yi atlamak, saldırganların ve kötü amaçlı yazılım yazarlarının rootkit’leri başarılı bir şekilde yükleme, kalıcı kötü amaçlı yazılım oluşturma, Şeffaflık, Rıza ve Kontrol’ü (TCC) atlama ve ek teknikler ve istismarlar için saldırı yüzeyini genişletme potansiyelini artırmak gibi ciddi sonuçlara yol açabilir.” Microsoft Tehdit İstihbaratı ekibinden Jonathan Bar Or şunları söyledi.
Köksüz olarak da adlandırılan SIP, Mac’te yüklü olan kötü amaçlı yazılımların /System, /usr, /bin, /sbin, /var ve uygulamalar dahil olmak üzere işletim sisteminin korunan bölümlerine müdahale etmesini önlemeyi amaçlayan bir güvenlik çerçevesidir. cihaza önceden yüklenmiş olarak gelir.
Kök kullanıcı hesabına karşı çeşitli korumalar uygulayarak, bu korunan parçaların yalnızca Apple tarafından imzalanan ve Apple yazılım güncellemeleri ve Apple yükleyicileri gibi sistem dosyalarına yazma konusunda özel yetkilere sahip olan işlemler tarafından değiştirilmesine izin vererek çalışır.
SIP’ye özel iki yetki aşağıdadır:
- com.apple.rootless.install, bu yetkiye sahip bir işlem için SIP’nin dosya sistemi kısıtlamalarını kaldırır
- com.apple.rootless.install.heritable, com.apple.rootless.install yetkisini devralarak bir işlem ve onun tüm alt işlemleri için SIP’nin dosya sistemi kısıtlamalarını kaldırır.
Microsoft tarafından macOS’ta CVE-2021-30892 (Shrootless) ve CVE-2023-32369’dan (Migraine) sonra keşfedilen en son SIP bypass’ı olan CVE-2024-44243, Storage Kit arka plan programının (storagekitd) “com.apple.rootless.install” özelliğini kullanır SIP korumalarını aşmak için .kalıtsal” yetki.
Spesifik olarak, bu, /Library/Filesystems’e (storagekitd’in bir alt işlemi) yeni bir dosya sistemi paketi sunmak ve Disk ile ilişkili ikili dosyaları geçersiz kılmak için “storagekitd’in uygun doğrulama olmadan veya ayrıcalıkları bırakmadan rastgele işlemleri başlatma yeteneğinden” yararlanılarak gerçekleştirilir. Daha sonra disk onarımı gibi belirli işlemler sırasında tetiklenebilecek yardımcı program.
Bar Or, “Root olarak çalışabilen bir saldırgan, /Library/Filesystems’e yeni bir dosya sistemi paketi bırakabileceğinden, daha sonra özel ikili dosyalar oluşturmak için Storagekitd’yi tetikleyebilir, dolayısıyla SIP’yi atlayabilir” dedi. “Yeni oluşturulan dosya sisteminde silme işleminin tetiklenmesi SIP korumalarını da atlayabilir.”
Açıklama, Microsoft’un ayrıca Apple’ın macOS’taki Şeffaflık, Rıza ve Kontrol (TCC) çerçevesindeki başka bir güvenlik kusurunu (CVE-2024-44133, CVSS puanı: 5,5) (diğer adıyla HM Surf) ayrıntılarıyla açıklamasından yaklaşık üç ay sonra geldi; hassas veriler.
Bar Or, “Çekirdekte üçüncü taraf kodların çalıştırılmasını yasaklamak, macOS güvenilirliğini artırabilir; bunun karşılığında güvenlik çözümlerinin izleme yeteneklerini azaltır” dedi.
“SIP atlanırsa, işletim sisteminin tamamı artık güvenilir olarak kabul edilemez ve izleme görünürlüğü azaldıkça, tehdit aktörleri tespitten kaçınmak için cihazdaki herhangi bir güvenlik çözümüne müdahale edebilir.”