Microsoft Tehdit İstihbaratı, macOS’ta, saldırganların, işletim sistemini kötü niyetli müdahalelerden korumak için tasarlanmış kritik bir güvenlik mekanizması olan Apple’ın Sistem Bütünlüğü Korumasını (SIP) atlamalarına olanak verebilecek önemli bir güvenlik açığı tespit etti.
Bu kusur şu şekilde ele alındı: CVE-2024-44243saldırganların üçüncü taraf çekirdek uzantılarını yüklemesine olanak tanır ve rootkit’lerin, kalıcı kötü amaçlı yazılımların yüklenmesine ve güvenlik önlemlerinin kaçırılmasına izin vererek potansiyel olarak macOS güvenliğini tehlikeye atar.
Güvenlik açığı, Microsoft araştırmacıları ve güvenlik uzmanı Mickey Jin tarafından bağımsız olarak keşfedildi ve her ikisi de bunu Koordineli Güvenlik Açığı Açıklaması (CVD) aracılığıyla sorumlu bir şekilde Apple’a bildirdi.
Apple, 11 Aralık 2024’te yayımlanan güvenlik güncellemelerinde bu soruna değindi. Microsoft, olası istismarlara karşı koruma sağlamak için tüm macOS kullanıcılarını sistemlerinin en son yazılıma güncellendiğinden emin olmaya çağırdı.
SIP Baypasının Etkisini Anlamak
“Köksüz” olarak da bilinen Sistem Bütünlüğü Koruması, kök kullanıcılar için bile sistem düzeyindeki işlemleri kısıtlayarak önemli sistem dosyalarının, çekirdek uzantılarının ve ayarların korunmasını sağlar. Ancak SIP’in başarılı bir şekilde atlanması bu korumaları zayıflatır ve saldırganların şunları yapmasına olanak tanır:
- Rastgele çekirdek sürücülerini yükleyin.
- Hassas işletim sistemi bileşenlerini değiştirin.
- Tespit edilmekten kaçınmak için rootkit’leri yükleyin.
- Apple’ın Şeffaflık, Rıza ve Kontrol (TCC) gibi macOS güvenlik çerçevelerini atlatın.
Microsoft araştırmacıları “SIP’yi atlamak tüm macOS işletim sisteminin güvenilirliğini etkiliyor” açıkladı. “SIP kısıtlamaları aşıldığında, saldırganlar cihazdaki güvenlik çözümlerine müdahale edebilir ve daha fazla istismar için dayanaklarını genişletebilir.”
Investigate Real-World Malicious Links, Malware & Phishing Attacks With ANY.RUN – Try for Free
Teknik Analiz
Güvenlik açığı, özel olarak adlandırılan macOS işlemleriyle ilgilidir. Yetkiler, belirli sistem işlemlerine verilen ve onların kısıtlı işlemleri gerçekleştirmesine olanak tanıyan izinlerdir.
Saldırganlar aşağıdakiler gibi belirli yetkilerden yararlanabilir: com.apple.rootless.install.heritableSIP korumalarını atlamak için.
Örneğin, adı verilen bir macOS arka plan programı storagekitdDisk operasyonlarını yönetmekten sorumlu olan kişinin SIP atlama yeteneklerine sahip olduğu belirlendi.
Özel dosya sistemi paketleri yükleyerek ve bunlardan yararlanarak storagekitdsaldırganlar uygun doğrulama olmadan rastgele işlemler çalıştırabilir.
Bu keşif, Microsoft Defender tarafından bildirilen “Shrootless” ve “Migren” olarak adlandırılan önceki açıklardan yararlanmalar da dahil olmak üzere SIP güvenlik açıklarına ilişkin daha önceki araştırmaları yansıtıyor.
MacOS’ta dosya sistemleri Disk Tahkim arka plan programı (hakem kararı), hem çekirdek tabanlı (örn. APFS, HFS+) hem de kullanıcı alanı dosya sistemlerini (UserFS) destekler. Bunlar, dosya sistemi paketleri (*.fs) olarak uygulanır. /System/Library/Filesystems veya /Library/Filesystems.
Paketler şunların sözlüğünü içerir: FSMediaTypes içerik ipuçları için ve montaj, onarım ve araştırma gibi işlemler için ikili dosyaları ve bağımsız değişkenleri belirtin.
depolama kiti daemon, etkileşimde bulunuyor hakem kararıaracılığıyla montajı yönetir posix_spawn ve doğrudan disk onarımı gibi belirli işlemleri başlatır.
Kök erişimi olan bir saldırgan, kötü amaçlı bir dosya sistemi paketini /Library/Filesystems ve kullan depolama kiti Sistem Bütünlüğü Korumasını (SIP) atlayarak özel ikili dosyaları yürütmek için.
Bu istismar, özel dosya sisteminin silinmesi, yetkisiz kod yürütülmesinin tetiklenmesi gibi işlemleri de kapsıyor.
Bu olaylar, şüpheli veya anormal davranışlara karşı süreçlerin özel yetkilerle izlenmesine yönelik kritik ihtiyacı vurgulamaktadır.
Araştırmacılar, Uç Nokta için Microsoft Defender gibi gelişmiş izleme araçlarını kullanarak, storagekitd.
Bu, SIP kısıtlamalarını aşabilen ikili dosyaları çağıran üçüncü taraf dosya sistemlerinin keşfedilmesine yol açtı.
Suçlular arasında Paragon, Tuxera ve EaseUS gibi satıcıların araçları vardı; bunlar, kendileri kötü niyetli olmasalar da saldırganlar tarafından meşru süreçler kisvesi altında yetkisiz işlemler yürütmek için kullanılabilecekti.
Microsoft araştırmacıları bu sorunun macOS’taki bir güvenlik açığından kaynaklandığını vurguladı. storagekitd üçüncü taraf araçların kendilerindeki kusurlar yerine süreçlere başvurulmuştu.
Microsoft’un bulguları, SIP’yi ve diğer kritik güvenlik mekanizmalarını atlatmaya yönelik girişimleri tespit etmek ve engellemek için sağlam izlemenin öneminin altını çiziyor.
Microsoft, raporunda “SIP ile ilgili yetkilerin kapsamlı bir şekilde izlenmesi çok önemlidir” dedi. “Proaktif tespit mekanizmaları, savunucuların ortaya çıkan tehditlere karşı bir adım önde olmalarını sağlıyor.”
Microsoft, güvenlik açığını derhal ele aldığı için Apple’ı övdü ve güvenlik araştırmacısı Mickey Jin’i sorunu sorumlu bir şekilde açıkladığı için takdir etti.
Microsoft, araştırmayı daha geniş bir güvenlik topluluğuyla paylaşarak işbirliğini geliştirmeyi ve karmaşık tehditlere karşı proaktif savunmaları teşvik etmeyi amaçlıyor.
Kullanıcılara ve Kuruluşlara Yönelik Öneriler
- MacOS’u hemen güncelleyin: Sisteminizin, CVE-2024-44243 düzeltmesini içeren 11 Aralık 2024 veya sonrasında yayımlanan en son güncellemeleri çalıştırdığından emin olun.
- Anormal davranışı izleyin: Özel olarak adlandırılmış süreçleri içeren şüpheli etkinlikleri tespit etmek ve bunlara yanıt vermek için Uç Nokta için Microsoft Defender gibi araçları kullanın.
- Organizasyonel savunmaları geliştirin: SIP atlamaları ve diğer gelişmiş tehditlerle ilişkili riskleri azaltmak için kapsamlı uç nokta koruması ve güvenlik açığı yönetimi uygulayın.
CVE-2024-44243’ün keşfi, platformlar ve kuruluşlar arasındaki işbirliğinin kullanıcıları korumada hayati bir rol oynadığı günümüz siber güvenlik ortamında dikkatli olmaya yönelik kritik ihtiyacın altını çiziyor.
Microsoft, bu güvenlik açığına ilişkin daha fazla bilgi edinmek için ayrıntılı teknik bulguları güvenlik topluluğuyla paylaşarak şeffaf ve sorumlu açıklama uygulamalarına olan bağlılığını sürdürdü.
Bu Haberi İlginç Bulun! Anında Güncellemeler Almak için bizi Google Haberler, LinkedIn ve X’te takip edin!