Apple heeft onlangs twee belangrijke kwetsbaarheden in macOS opgelost die gebruikers blootstelden aan potentiële persistentie van malware en ongeautoriseerde toegang tot gevoelige gegevens.
Deze problemen, ontdekt door Microsoft-onderzoekers (via Securityaffairs), bevatte kritieke fouten in Systeemintegriteitsbescherming (SIP) en de Transparantie, Toestemming en Controle ( TCC)-framework. Deze kwetsbaarheden zijn hersteld in macOS Sequoia 15.2 en illustreren het belang van voortdurende verbeteringen aan de macOS-beveiliging.
De eerste fout, bijgehouden als CVE-2024-44243, stelde aanvallers met root-toegang in staat SIP, een belangrijke macOS-beveiliging, te omzeilen functie die ongeautoriseerde wijzigingen aan het systeem voorkomt. De tweede, geïdentificeerd als CVE-2024-44133 en bijgenaamd ‘HM Surf’, maakte gebruik van zwakke punten in TCC, waardoor ongeoorloofde toegang tot gevoelige gegevens mogelijk werd.
Inzicht in de SIP-kwetsbaarheid
Systeemintegriteitsbescherming, geïntroduceerd in macOS om systeemkritische bestanden en processen te beschermen, dwingt strikte beveiligingsprotocollen af. Het zorgt ervoor dat alleen applicaties die zijn ondertekend en goedgekeurd door Apple of zijn geïnstalleerd via de App Store beveiligde delen van het besturingssysteem kunnen wijzigen.
Microsoft-onderzoekers ontdekten echter dat deze beveiliging kon worden omzeild door gebruik te maken van private rechten ingebed in specifieke systeemprocessen.
Privérechten zijn gespecialiseerde rechten gereserveerd voor interne macOS-functies, zoals com.apple.rootless.install.heritable. Wanneer dit recht wordt overgenomen door onderliggende processen, kunnen ze SIP-beperkingen omzeilen, waardoor het systeem wordt blootgesteld aan rootkit-installaties en andere kwaadaardige acties.
Gerelateerd: het beveiligingslek in macOS Safari legt gevoelige gegevens bloot
Microsoft benadrukte de rol van de macOS-daemon storagekitd, verantwoordelijk voor schijfbeheerbewerkingen. Aanvallers kunnen deze daemon misbruiken om aangepaste bestandssysteembundels toe te voegen aan /Library/Filesystems.
Volgens Microsoft:”Aangezien een aanvaller die als root kan werken een nieuwe bestandssysteembundel naar/Library/Filesystems kan neerzetten, kunnen ze later storagekitd activeren om aangepaste binaire bestanden te spawnen, waardoor SIP wordt omzeild.”“Het omzeilen van SIP zou tot ernstige gevolgen kunnen leiden, zoals het vergroten van de mogelijkheden voor aanvallers en malware-auteurs om met succes rootkits te installeren, persistente malware te creëren, Transparency, Consent and Control (TCC) te omzeilen en de aanval uit te breiden. naar de oppervlakte komen voor aanvullende technieken en exploits.”
Deze aanpak stelt aanvallers in staat vertrouwde binaire bestanden van het systeem, zoals Schijfhulpprogramma, te overschrijven om kwaadaardige code uit te voeren.
TCC-exploit-en privacyrisico’s
De tweede kwetsbaarheid, CVE-2024-44133, was gericht op het Transparency, Consent, and Control (TCC)-framework. TCC, uitgebracht in macOS Mojave 10.14, is een essentieel macOS-onderdeel dat app-machtigingen beheert voor toegang tot gevoelige gegevens, zoals de camera, microfoon en locatievoorzieningen.
Door deze fout konden aanvallers de TCC-beveiligingen omzeilen, waardoor ongeautoriseerde toegang tot gebruikersgegevens mogelijk werd, inclusief de browsegeschiedenis en privésysteembestanden.
Deze kwetsbaarheid had vooral impact op Safari, waar het aanvallers in staat stelde om de toegangsrechten van de browser te misbruiken. Microsoft merkte op dat dit probleem gevoelige gebruikersinformatie zonder uitdrukkelijke toestemming aan het licht zou kunnen brengen, wat de risico’s van dergelijke kwetsbaarheden verder benadrukt.
Hoewel de updates deze specifieke tekortkomingen oplossen, onderstrepen de ontdekkingen bredere uitdagingen bij het beveiligen van complexe systemen. Microsoft benadrukte het belang van het monitoren van afwijkend gedrag in processen met privérechten, omdat deze kunnen dienen als toegangspunten voor geavanceerde aanvallen.
Technische inzichten en bredere implicaties
De ontdekte kwetsbaarheden benadrukken het ingewikkelde evenwicht tussen functionaliteit en veiligheid in moderne besturingssystemen. Hoewel privérechten essentieel zijn voor interne macOS-bewerkingen, brengen ze aanzienlijke risico’s met zich mee als ze worden misbruikt. Processen zoals storagekit, die kritieke taken zoals schijfbewerkingen beheren, moeten zorgvuldig worden gecontroleerd om mogelijk misbruik op te sporen.
Het SIP-bypass-probleem laat ook zien hoe aanvallers systeemcomponenten kunnen misbruiken om winst te maken doorzettingsvermogen en het vergroten van hun privileges. Op dezelfde manier onthult de TCC-kwetsbaarheid de behoefte aan robuuste toestemmingscontroles om de privacy van gebruikers te beschermen. De updates van Apple omvatten strengere validatiemaatregelen binnen TCC en SIP om deze risico’s te beperken.
