Firma Microsoft ujawniła niedawno załataną lukę w zabezpieczeniach systemu macOS firmy Apple, zidentyfikowaną jako CVE-2024-44243co mogłoby pozwolić osobie atakującej działającej z uprawnieniami roota na ominięcie ochrony integralności systemu (ŁYK) systemu operacyjnego i zainstaluj złośliwe sterowniki jądra poprzez rozszerzenia jądra innych firm.
Microsoft ujawnia lukę w systemie macOS umożliwiającą ominięcie protokołu SIP
Luka ta, posiadająca ocenę CVSS na poziomie 5,5 i sklasyfikowana jako średnio istotna, została naprawiona przez firmę Apple w wydanym w zeszłym miesiącu wydaniu macOS Sequoia 15.2. Firma Apple sklasyfikowała ten problem jako „problem z konfiguracją”, który może umożliwić złośliwej aplikacji zmianę chronionych obszarów systemu plików.
Zdaniem Jonathana Bara Ora z zespołu Microsoft Threat Intelligence„Omijanie protokołu SIP może prowadzić do poważnych konsekwencji, takich jak zwiększenie możliwości atakujących i autorów złośliwego oprogramowania w zakresie pomyślnej instalacji rootkitów, tworzenia trwałego złośliwego oprogramowania, ominięcia przejrzystości, zgody i kontroli (TCC) oraz rozszerzenia obszaru ataku dla dodatkowych technik i exploitów. ”
Protokół SIP, nazywany także bezrootowym, służy jako struktura bezpieczeństwa zapobiegająca ingerencji złośliwego oprogramowania w podstawowe komponenty systemu macOS, w tym katalogi takie jak /System, /usr, /bin, /sbin, /var i preinstalowane aplikacje. SIP wymusza ścisłe uprawnienia na koncie root, umożliwiając modyfikację tych obszarów jedynie przez procesy podpisane przez Apple, w tym aktualizacje oprogramowania Apple.
Dwa kluczowe uprawnienia związane z protokołem SIP to: com.apple.rootless.install, które pozwala procesowi ominąć ograniczenia systemu plików SIP, oraz com.apple.rootless.install.heritable, które rozszerza te same możliwości na wszystkie procesy potomne początkowego proces.
Eksploatacja CVE-2024-44243 wykorzystuje uprawnienie „com.apple.rootless.install.heritable” w możliwościach demona Storage Kit (storagekitd) w celu obejścia protokołu SIP. Atakujący mogą wykorzystać możliwości pakietu Storagekitd do wywoływania dowolnych procesów bez odpowiednich kontroli w celu wprowadzenia nowego pakietu systemu plików w katalogu /Library/Filesystems, co prowadzi do zmiany plików binarnych powiązanych z Narzędziem dyskowym. Można to aktywować podczas operacji takich jak naprawa dysku.
Bar Or rozwinął, stwierdzając: „Ponieważ osoba atakująca, która może działać jako root, może upuścić nowy pakiet systemu plików do /Library/Filesystems, może później uruchomić pakiet Storagekitd w celu utworzenia niestandardowych plików binarnych, omijając w ten sposób protokół SIP. Wyzwolenie operacji kasowania nowo utworzonego systemu plików może również ominąć zabezpieczenia SIP.”
To odkrycie jest następstwem poprzedniego raportu Microsoftu szczegółowo opisującego inną lukę w zabezpieczeniach TCC systemu macOS, zidentyfikowaną jako CVE-2024-44133co również zagraża bezpieczeństwu danych użytkowników. Bar Or zauważył, że chociaż SIP zwiększa niezawodność systemu macOS, jednocześnie ogranicza możliwości nadzoru rozwiązań bezpieczeństwa.
Jaron Bradley, dyrektor Threat Labs w firmie Jamf, podkreślił znaczenie protokołu SIP, stwierdzając, że jest on głównym celem zarówno badaczy, jak i atakujących, a wiele protokołów bezpieczeństwa Apple opiera się na niezniszczalności protokołu SIP. „Dzięki wykorzystaniu protokołu SIP osoba atakująca może ominąć te monity, ukryć złośliwe pliki w chronionych obszarach systemu i potencjalnie uzyskać głębszy dostęp” – dodał.
Wzywa się specjalistów ds. cyberbezpieczeństwa do aktualizowania systemów macOS, ponieważ najnowsza łatka usuwa tę krytyczną lukę, która została usunięta w aktualizacji zabezpieczeń Apple z 11 grudnia. Bez protokołu SIP napastnicy mogliby niewykryć rootkity lub trwałe złośliwe oprogramowanie, nawet bez fizycznego dostępu do maszyn.
Eksperci zalecają, aby zespoły bezpieczeństwa uważnie monitorowały procesy posiadające specjalne uprawnienia, które mogą ominąć protokół SIP. Mayuresh Dani, kierownik ds. badań nad bezpieczeństwem w firmie Qualys, zasugerował, że „zespoły powinny aktywnie monitorować procesy ze specjalnymi uprawnieniami, ponieważ można je wykorzystać do ominięcia protokołu SIP”.
Ponadto należy monitorować nietypowe działania związane z zarządzaniem dyskami i nietypowe zachowania użytkowników uprzywilejowanych, aby zwiększyć bezpieczeństwo przed tego typu atakami. Jak ilustrują luki takie jak CVE-2024-44243, organizacje powinny ostrożnie zarządzać rozszerzeniami jądra innych firm i włączać je tylko wtedy, gdy jest to absolutnie konieczne, w połączeniu z rygorystycznymi protokołami monitorowania.
Luka wykryta przez Microsoft nie tylko pokazuje ciągłość problemów związanych z bezpieczeństwem, ale także uwypukla luki obecne w systemie macOS, takie jak niedawne wykrycie „Banshee” złośliwe oprogramowanie kradnące informacje, które według doniesień ominęło zabezpieczenia antywirusowe firmy Apple ze względu na skradziony algorytm szyfrowania.
Analiza Microsoftu wskazuje, że ta specyficzna wada wynika z roli demona Storage Kit w nadzorowaniu operacji dyskowych, umożliwiając potencjalne wykorzystanie tego oprogramowania poprzez osadzanie niestandardowego kodu w systemach plików innych firm, w tym Tuxera, Paragon, EaseUS i iBoysoft.
Autor wyróżnionego obrazu: Szabo Viktor/Unsplash
