Apple baru-baru ini mengatasi dua kerentanan signifikan di macOS yang membuat pengguna berpotensi terkena malware dan akses tidak sah ke data sensitif.
Masalah ini ditemukan oleh peneliti Microsoft (melalui Securityaffairs), melibatkan kelemahan kritis dalam Perlindungan Integritas Sistem (SIP) dan Transparansi, Persetujuan, dan Kontrol ( kerangka TCC). Kerentanan ini telah ditambal di macOS Sequoia 15.2 dan menggambarkan pentingnya peningkatan berkelanjutan pada keamanan macOS.
Kelemahan pertama, yang dilacak sebagai CVE-2024-44243, memungkinkan penyerang dengan akses root untuk melewati SIP, sebuah keamanan inti macOS fitur yang mencegah perubahan tidak sah pada sistem. Yang kedua, diidentifikasi sebagai CVE-2024-44133 dan diberi nama “HM Surf”, mengeksploitasi kelemahan TCC, memungkinkan akses tidak sah ke data sensitif.
Memahami Kerentanan SIP
Perlindungan Integritas Sistem, diperkenalkan di macOS untuk melindungi file dan proses penting sistem, menerapkan protokol keamanan yang ketat. Ini memastikan bahwa hanya aplikasi yang ditandatangani dan disahkan oleh Apple atau diinstal melalui App Store yang dapat memodifikasi bagian sistem operasi yang dilindungi hak yang tertanam dalam proses sistem tertentu.
Kepemilikan pribadi adalah izin khusus yang disediakan untuk fungsi internal macOS, seperti com.apple.rootless.install.heritable. Hak ini, jika diwarisi oleh proses anak, memungkinkan proses tersebut melewati batasan SIP, sehingga membuat sistem terkena instalasi rootkit dan tindakan berbahaya lainnya.
Terkait: Kerentanan macOS Safari Mengekspos Data Sensitif
Microsoft menyoroti peran daemon macOS storagekitd, yang bertanggung jawab atas operasi manajemen disk. Penyerang dapat mengeksploitasi daemon ini untuk menambahkan bundel sistem file khusus ke /Library/Filesystems.
Menurut Microsoft, “Karena penyerang yang dapat berjalan sebagai root dapat menjatuhkan bundel sistem file baru ke/Library/Filesystems, mereka nantinya dapat memicu storagekitd untuk menghasilkan binari khusus, sehingga melewati SIP.”Microsoft menyatakan , “Melewati SIP dapat mengakibatkan konsekuensi serius, seperti meningkatkan potensi penyerang dan pembuat malware untuk berhasil menginstal rootkit, membuat malware yang persisten, melewati Transparansi, Persetujuan, dan Kontrol (TCC), dan memperluas permukaan serangan untuk serangan tambahan. teknik dan eksploitasi.”
Pendekatan ini memungkinkan penyerang mengambil alih biner sistem tepercaya, seperti Disk Utility, untuk mengeksekusi kode berbahaya.
Risiko Eksploitasi dan Privasi TCC
Kerentanan kedua, CVE-2024-44133, menargetkan kerangka Transparansi, Persetujuan, dan Kontrol (TCC). TCC, dirilis di macOS Mojave 10.14, adalah komponen macOS penting yang mengelola izin aplikasi untuk mengakses data sensitif, seperti kamera, mikrofon, dan layanan lokasi.
Kerusakan ini memungkinkan penyerang untuk melewati perlindungan TCC, memungkinkan akses tidak sah ke data pengguna, termasuk riwayat penelusuran dan file sistem pribadi.
Kerentanan ini sangat berdampak pada Safari, yang memungkinkan penyerang untuk mengeksploitasi izin akses browser. Microsoft mencatat bahwa masalah ini dapat mengungkap informasi sensitif pengguna tanpa persetujuan eksplisit, sehingga semakin menekankan risiko yang ditimbulkan oleh kerentanan tersebut.
Meskipun pembaruan ini mengatasi kelemahan spesifik ini, penemuan ini menggarisbawahi tantangan yang lebih luas dalam mengamankan sistem yang kompleks. Microsoft menekankan pentingnya memantau perilaku anomali dalam proses yang memiliki hak pribadi, karena hal ini dapat menjadi titik masuk bagi serangan yang canggih.
Wawasan Teknis dan Implikasi yang Lebih Luas
Kerentanan yang ditemukan menyoroti keseimbangan rumit antara fungsionalitas dan keamanan dalam sistem operasi modern. Kepemilikan pribadi, meskipun penting untuk pengoperasian internal MacOS, menimbulkan risiko besar jika dieksploitasi. Proses seperti storagekit, yang mengelola tugas-tugas penting seperti operasi disk, harus dipantau dengan cermat untuk mendeteksi potensi penyalahgunaan.
Masalah bypass SIP juga menunjukkan bagaimana penyerang dapat mengeksploitasi komponen sistem untuk mendapatkan keuntungan. ketekunan dan meningkatkan hak istimewa mereka. Demikian pula, kerentanan TCC menunjukkan perlunya kontrol izin yang kuat untuk menjaga privasi pengguna. Pembaruan Apple mencakup tindakan validasi yang lebih ketat dalam TCC dan SIP untuk memitigasi risiko ini.
