Microsoft Threat Intelligence je identifikovao značajnu ranjivost u macOS-u koja bi mogla omogućiti napadačima da zaobiđu Appleovu zaštitu integriteta sistema (SIP), kritični sigurnosni mehanizam dizajniran da zaštiti operativni sistem od malicioznih smetnji.
Ova mana adresirana kao CVE-2024-44243 , omogućava napadačima da učitaju ekstenzije kernela trećih strana, potencijalno ugrožavajući sigurnost macOS-a dozvoljavajući instalaciju rootkita, upornog malicioznog softvera i izbjegavanje sigurnosnih mjera.
Ranjivost su nezavisno otkrili Microsoftovi istraživači i stručnjak za sigurnost Mickey Jin, od kojih su obojica odgovorno prijavili Apple-u putem Coordinated Vulnerability Disclosure (CVD).
Apple je riješio problem u sigurnosnim ažuriranjima objavljenim 11. decembra 2024. Microsoft je pozvao sve korisnike macOS-a da osiguraju da su njihovi sistemi ažurirani na najnoviji softver kako bi se zaštitili od potencijalne eksploatacije.
Razumijevanje uticaja SIP zaobilaznice
Zaštita integriteta sistema, poznata i kao “rootless”, ograničava operacije na nivou sistema čak i za root korisnike, osiguravajući da ključne sistemske datoteke, ekstenzije kernela i postavke ostanu zaštićene. Uspješno zaobilaženje SIP-a, međutim, podriva ove zaštite, omogućavajući napadačima da:
- Učitajte proizvoljne drajvere kernela.
- Modifikuje osjetljive komponente operativnog sistema.
- Instalira rootkite da biste izbjegli otkrivanje.
- Zaobiđie sigurnosne okvire macOS-a kao što je Apple-ova transparentnost, pristanak i kontrola (TCC).
„Zaobilaženje SIP-a utiče na pouzdanost celog macOS operativnog sistema“, objasnili su istraživači iz Microsofta . “Kada se SIP ograničenja zaobiđu, napadači mogu mijenjati sigurnosna rješenja na uređaju i proširiti svoje uporište za dalju eksploataciju.”
Tehnička analiza
Ranjivost se vrti oko posebno nazvanih macOS procesa. Ovlaštenja su dozvole dodijeljene određenim sistemskim procesima, omogućavajući im da izvode ograničene operacije.
Napadači mogu iskoristiti određena prava, kao što je com.apple.rootless.install.heritable, da zaobiđu SIP zaštitu.
Na primjer, macOS demon koji se zove storagekitd, odgovoran za upravljanje diskovnim operacijama, identifikovan je kao da ima mogućnosti zaobilaženja SIP-a.
Instaliranjem prilagođenih paketa sistema datoteka i korištenjem storagekitd, napadači mogu pokrenuti proizvoljne procese bez odgovarajuće validacije.
Ovo otkriće podsjeća na ranija istraživanja SIP ranjivosti, uključujući prethodne eksploatacije nazvane “Shrootless” i “Migraine”, o kojima je izvijestio Microsoft Defender.
Na macOS-u, sistemima datoteka upravlja demon Disk Arbitration ( diskarbitrationd ), podržavajući i sisteme datoteka zasnovane na kernelu (npr. APFS, HFS+) i sisteme datoteka korisničkog prostora (UserFS). Oni su implementirani kao paketi sistema datoteka (*.fs) koji se nalaze u /System/Library/Filesystemsili /Library/Filesystems.
Paketi uključuju rječnik FSMediaTypesza nagoveštaje sadržaja i specificiraju binarne datoteke i argumente za operacije kao što su montiranje, popravljanje i ispitivanje.
Storagekitd daemon, u interakciji sa diskarbitrationd , upravlja montiranjem putem i direktno poziva određene operacije kao što je popravak diska.posix_spawn
Napadač sa root pristupom može ubaciti maliciozni paket datoteka u /Library/Filesystemsi koristiti storagekitd za izvršavanje prilagođenih binarnih datoteka, zaobilazeći zaštitu integriteta sistema (SIP).
Ova eksploatacija se proširuje na operacije poput brisanja prilagođenog sistema datoteka, pokretanja neovlaštenog izvršavanja koda.
Ovi incidenti naglašavaju kritičnu potrebu za praćenjem procesa sa posebnim pravima za sumnjivo ili anomalno ponašanje.
Koristeći napredne alate za praćenje kao što je Microsoft Defender za Endpoint, istraživači su identifikovali neobične podređene procese koje je pokrenuo storagekitd.
Među krivcima su bili alati proizvođača kao što su Paragon, Tuxera i EaseUS, koji, iako sami po sebi nisu maliciozni, mogli bi biti iskorišteni od strane napadača za izvršavanje neovlaštenih operacija pod krinkom legitimnih procesa.
Microsoftovi istraživači su naglasili da ovaj problem proizlazi iz ranjivosti macOS-a u načinu na koji storagekitdsu procesi pozvani, a ne zbog nedostataka u samim alatima treće strane.
Microsoftovi nalazi naglašavaju važnost snažnog nadzora kako bi se otkrili i spriječili pokušaji zaobilaženja SIP-a i drugih kritičnih sigurnosnih mehanizama.
„Sveobuhvatno praćenje prava vezanih za SIP je ključno“, navodi Microsoft u svom izvještaju. „Proaktivni mehanizmi otkrivanja omogućavaju braniocima da ostanu korak ispred novih prijetnji.”
Microsoft je pohvalio Apple za brzo rješavanje ranjivosti i priznao istraživača sigurnosti Mickey Jin za odgovorno otkrivanje problema.
Dijeleći istraživanje sa širom bezbjednosnom zajednicom, Microsoft ima za cilj da podstakne saradnju i podstakne proaktivnu odbranu od sofisticiranih prijetnji.
Preporuke za korisnike i organizacije
- Odmah ažurirajte macOS: Uvjerite se da vaš sistem pokreće najnovija ažuriranja objavljena 11. decembra 2024. ili kasnije, koja uključuju ispravku za CVE-2024-44243.
- Nadgledajte anomalno ponašanje: Koristite alate kao što je Microsoft Defender za krajnju tačku da biste otkrili i odgovorili na sumnjive aktivnosti koje uključuju posebno ovlaštene procese.
- Poboljšajte organizacionu odbranu: Implementirajte sveobuhvatnu zaštitu krajnjih tačaka i upravljanje ranjivostima kako biste smanjili rizike povezane sa SIP zaobilaznicama i drugim naprednim prijetnjama.
Izvor: CyberSecurityNews
