Az Apple a közelmúltban feloldott két jelentős sebezhetőséget a macOS-ben, amelyek kitették a felhasználókat a rosszindulatú programok esetleges fennmaradásának és az érzékeny adatokhoz való jogosulatlan hozzáférésnek.
Ezek a problémák, amelyeket a Microsoft kutatói fedeztek fel (a Biztonsági ügyek), az System Integrity Protection (SIP) és a Átláthatóság, beleegyezés és ellenőrzés (TCC) keretrendszer. A macOS Sequoia 15.2-ben kijavított sebezhetőségek jól szemléltetik a macOS biztonságának folyamatos fejlesztésének fontosságát.
Az első hiba, amelyet CVE-2024-44243 néven nyomon követtek, lehetővé tette a root hozzáféréssel rendelkező támadók számára, hogy megkerüljék a SIP-t, a macOS alapvető biztonságát. funkció, amely megakadályozza a rendszer jogosulatlan módosításait. A második, CVE-2024-44133 néven és „HM Surf” becenéven, kihasználta a TCC gyengeségeit, lehetővé téve az érzékeny adatokhoz való jogosulatlan hozzáférést.
A SIP-sebezhetőség
A Microsoft kutatói azonban felfedezték, hogy ez a biztosíték megkerülhető bizonyos rendszerfolyamatokba ágyazott privát jogosultságokkal.
A privát jogosultságok a belső macOS-funkciók számára fenntartott speciális engedélyek, például com.apple.rootless.install.heritable. Ez a jogosultság, ha gyermekfolyamatok öröklik, lehetővé teszi számukra a SIP-korlátozások megkerülését, ezáltal a rendszert rootkit telepítéseknek és egyéb rosszindulatú műveleteknek teszik ki.
Kapcsolódó: A macOS Safari biztonsági rése érzékeny adatokat tesz közzé
A Microsoft kiemelte a storagekitd macOS démon szerepét, amely a lemezkezelési műveletekért felelős. A támadók ezt a démont kihasználva egyéni fájlrendszer-csomagokat adhatnak hozzá a /Library/Filesystems mappához.
A Microsoft szerint „Mivel egy root felhasználóként futtatható támadó egy új fájlrendszer-csomagot dobhat a/Library/Filesystems mappába, később elindíthatja a storagekitd-t, hogy egyéni binárisokat hozzon létre, így megkerülve a SIP-t.” A Microsoft szerint „A SIP megkerülése súlyos következményekkel járhat, például megnövelheti a támadók és a rosszindulatú programok szerzőinek lehetőségét a rootkitek sikeres telepítésére, tartós rosszindulatú programok létrehozására, megkerülheti az átláthatóságot, beleegyezést és vezérlést (TCC), és kiterjesztheti a támadási felületet további technikák és kizsákmányolások számára.”
Ez a megközelítés lehetővé teszi a támadók számára, hogy felülbírálják a megbízható rendszer bináris fájljait, például a Disk Utility-t, és rosszindulatú kódot hajtsanak végre.
TCC kihasználási és adatvédelmi kockázatok
A második biztonsági rés, CVE-2024-44133, az átláthatóság, beleegyezés és ellenőrzés (TCC) keretrendszert célozta meg. A macOS Mojave 10.14-ben megjelent TCC egy létfontosságú macOS-komponens, amely kezeli az alkalmazások engedélyeit az érzékeny adatokhoz, például a kamerához, a mikrofonhoz és a helyszolgáltatásokhoz való hozzáféréshez.
A hiba lehetővé tette a támadók számára, hogy megkerüljék a TCC védelmet, így jogosulatlan hozzáférést tettek lehetővé a felhasználói adatokhoz, beleértve a böngészési előzményeket és a privát rendszerfájlokat.
A biztonsági rés különösen a Safarit érintette, ahol lehetővé tette a támadókat. hogy kihasználja a böngésző hozzáférési engedélyeit. A Microsoft megjegyezte, hogy ez a probléma kifejezett beleegyezés nélkül is érzékeny felhasználói információkat fedhet fel, tovább hangsúlyozva az ilyen sérülékenységből fakadó kockázatokat.
Bár a frissítések kiküszöbölik ezeket a konkrét hibákat, a felfedezések az összetett rendszerek biztonságának átfogóbb kihívásait hangsúlyozzák. A Microsoft hangsúlyozta az anomális viselkedés figyelésének fontosságát a privát jogosultságokkal rendelkező folyamatokban, mivel ezek belépési pontként szolgálhatnak a kifinomult támadásokhoz.
Technikai betekintés és tágabb következmények
A felfedezett sebezhetőségek rávilágítanak a funkcionalitás és a biztonság közötti bonyolult egyensúlyra a modern operációs rendszerekben. A magánjogosultságok, bár elengedhetetlenek a belső macOS-műveletekhez, jelentős kockázatot jelentenek, ha kihasználják őket. Az olyan folyamatokat, mint a storagekit, amelyek olyan kritikus feladatokat kezelnek, mint például a lemezműveletek, gondosan figyelemmel kell kísérni az esetleges visszaélések észlelése érdekében.
A SIP bypass problémája azt is bemutatja, hogy a támadók hogyan tudják kihasználni a rendszerelemeket nyereségszerzés céljából. kitartást, és emeljék kiváltságaikat. Hasonlóképpen, a TCC sebezhetősége rávilágít arra, hogy robusztus engedélyszabályozásra van szükség a felhasználók adatainak védelme érdekében. Az Apple frissítései szigorúbb érvényesítési intézkedéseket tartalmaztak a TCC-n és a SIP-n belül, hogy csökkentsék ezeket a kockázatokat.
