Apple baru-baru ini menyelesaikan dua kelemahan penting dalam macOS yang mendedahkan pengguna kepada potensi kegigihan perisian hasad dan akses tanpa kebenaran kepada data sensitif.
Isu ini, didedahkan oleh penyelidik Microsoft (melalui Securityffairs), melibatkan kelemahan kritikal dalam System Perlindungan Integriti (SIP) dan Ketelusan, Persetujuan dan Rangka kerja Kawalan (TCC). Ditambal dalam macOS Sequoia 15.2, kelemahan ini menggambarkan kepentingan penambahbaikan berterusan pada keselamatan macOS.
Kecacatan pertama, yang dijejaki sebagai CVE-2024-44243, membenarkan penyerang dengan akses root untuk memintas SIP, keselamatan macOS teras ciri yang menghalang perubahan yang tidak dibenarkan pada sistem. Yang kedua, dikenal pasti sebagai CVE-2024-44133 dan digelar”HM Surf,”mengeksploitasi kelemahan dalam TCC, membolehkan akses tanpa kebenaran kepada data sensitif.
Memahami SIP Kerentanan
Perlindungan Integriti Sistem, diperkenalkan dalam macOS untuk melindungi fail dan proses kritikal sistem, menguatkuasakan protokol keselamatan yang ketat Ia memastikan bahawa hanya aplikasi yang ditandatangani dan disahkan oleh Apple atau dipasang melalui App Store boleh mengubah suai bahagian yang dilindungi sistem pengendalian.
Walau bagaimanapun, penyelidik Microsoft mendapati bahawa perlindungan ini boleh dipintas menggunakan kelayakan peribadi yang dibenamkan dalam proses sistem tertentu.
Kelayakan peribadi ialah kebenaran khusus yang dikhaskan untuk fungsi macOS dalaman, seperti sebagai com.apple.rootless.install.heritable. Kelayakan ini, apabila diwarisi oleh proses kanak-kanak, membolehkan mereka memintas sekatan SIP, sekali gus mendedahkan sistem kepada pemasangan rootkit dan tindakan berniat jahat yang lain.
Berkaitan: macOS Safari Vulnerability Dedahkan Data Sensitif
Microsoft menyerlahkan peranan daemon macOS storagekitd, yang bertanggungjawab untuk operasi pengurusan cakera. Penyerang boleh mengeksploitasi daemon ini untuk menambah himpunan sistem fail tersuai pada /Library/Filesystems.
Menurut Microsoft, “Memandangkan penyerang yang boleh dijalankan sebagai root boleh menjatuhkan himpunan sistem fail baharu ke/Library/Filesystems, mereka kemudiannya boleh mencetuskan storagekitd untuk melahirkan binari tersuai, oleh itu memintas SIP.”Microsoft menyatakan ,”Memintas SIP boleh membawa kepada akibat yang serius, seperti meningkatkan potensi penyerang dan pengarang perisian hasad untuk berjaya memasang rootkit, mencipta perisian hasad berterusan, memintas Ketelusan, Persetujuan dan Kawalan (TCC), dan kembangkan permukaan serangan untuk teknik dan eksploitasi tambahan.”
Pendekatan ini membolehkan penyerang mengatasi perduaan sistem yang dipercayai, seperti Utiliti Cakera, untuk melaksanakan kod hasad.
Risiko Eksploitasi dan Privasi TCC
Kerentanan kedua, CVE-2024-44133, menyasarkan Ketelusan, Persetujuan dan Rangka kerja kawalan (TCC). TCC, dikeluarkan dalam macOS Mojave 10.14, ialah komponen macOS penting yang mengurus kebenaran apl untuk mengakses data sensitif, seperti kamera, mikrofon dan perkhidmatan lokasi.
Kecacatan itu membenarkan penyerang memintas perlindungan TCC, membolehkan akses tanpa kebenaran kepada data pengguna, termasuk sejarah penyemakan imbas dan fail sistem peribadi.
Kerentanan ini memberi kesan terutamanya pada Safari, di mana ia membolehkan penyerang untuk mengeksploitasi kebenaran akses pelayar. Microsoft menyatakan bahawa isu ini boleh mendedahkan maklumat pengguna yang sensitif tanpa kebenaran yang jelas, seterusnya menekankan risiko yang ditimbulkan oleh kerentanan tersebut.
Sementara kemas kini menyelesaikan kelemahan khusus ini, penemuan menggariskan cabaran yang lebih luas dalam menjamin sistem yang kompleks. Microsoft menekankan kepentingan memantau tingkah laku anomali dalam proses dengan kelayakan peribadi, kerana ini boleh berfungsi sebagai pintu masuk untuk serangan canggih.
Wawasan Teknikal dan Implikasi Yang Lebih Luas
Kerentanan yang ditemui menyerlahkan keseimbangan yang rumit antara fungsi dan keselamatan dalam sistem pengendalian moden. Kelayakan persendirian, walaupun penting untuk operasi macOS dalaman, memberikan risiko yang ketara jika dieksploitasi. Proses seperti kit storan, yang mengurus tugas kritikal seperti operasi cakera, mesti dipantau dengan teliti untuk mengesan kemungkinan penyalahgunaan.
Isu pintasan SIP juga menunjukkan cara penyerang boleh mengeksploitasi komponen sistem untuk mendapatkan keuntungan. kegigihan dan meningkatkan keistimewaan mereka. Begitu juga, kelemahan TCC mendedahkan keperluan untuk kawalan kebenaran yang teguh untuk melindungi privasi pengguna. Kemas kini Apple termasuk langkah pengesahan yang lebih ketat dalam TCC dan SIP untuk mengurangkan risiko ini.
