Firma Apple niedawno rozwiązała dwie istotne luki w zabezpieczeniach systemu macOS, które narażały użytkowników na potencjalną trwałość złośliwego oprogramowania i nieautoryzowany dostęp do wrażliwych danych.
Te problemy wykryte przez badaczy firmy Microsoft (za pośrednictwem Securityaffairs), dotyczyły krytycznych błędów w integralności systemu Ochrona (SIP) i Przejrzystość, zgoda i kontrola (TCC). Luki te, załatane w systemie macOS Sequoia 15.2, ilustrują znaczenie ciągłego udoskonalania zabezpieczeń systemu macOS.
Pierwsza luka, oznaczona jako CVE-2024-44243, umożliwiała atakującym z dostępem roota ominięcie protokołu SIP, podstawowego zabezpieczenia systemu macOS funkcja zapobiegająca nieautoryzowanym zmianom w systemie. Drugi, zidentyfikowany jako CVE-2024-44133 i nazwany „HM Surf”, wykorzystywał luki w TCC, umożliwiając nieautoryzowany dostęp do wrażliwych danych.
Zrozumienie luki w zabezpieczeniach protokołu SIP
Ochrona integralności systemu, wprowadzona w systemie macOS w celu ochrony systemu krytyczne pliki i procesy, egzekwuje rygorystyczne protokoły bezpieczeństwa. Zapewnia, że tylko aplikacje podpisane i poświadczone notarialnie przez firmę Apple lub zainstalowane za pośrednictwem App Store mogą modyfikować chronione części systemu operacyjnego.
Jednak badacze firmy Microsoft odkryli, że jest to zabezpieczenie mógł można ominąć, korzystając z uprawnień prywatnych wbudowanych w określone procesy systemowe.
Uprawnienia prywatne to wyspecjalizowane uprawnienia zarezerwowane dla wewnętrznych funkcji systemu macOS, takich jak com.apple.rootless.install.heritable. To uprawnienie, jeśli jest dziedziczone przez procesy potomne, umożliwia im ominięcie ograniczeń SIP, narażając w ten sposób system na instalacje rootkitów i inne złośliwe działania.
Powiązane: Luka w zabezpieczeniach przeglądarki macOS ujawnia poufne dane
Microsoft podkreślił rolę demona macOS storagekitd, odpowiedzialnego za operacje zarządzania dyskami. Osoby atakujące mogą wykorzystać tego demona w celu dodania niestandardowych pakietów systemu plików do /Library/Filesystems.
Według firmy Microsoft: „Ponieważ osoba atakująca, która może działać jako root, może upuścić nowy pakiet systemu plików do/Library/Filesystems, może później uruchomić pakiet Storagekitd w celu utworzenia niestandardowych plików binarnych, omijając w ten sposób SIP.” Microsoft stwierdził „Omijanie protokołu SIP może prowadzić do poważnych konsekwencji, takich jak zwiększenie potencjału atakujących i autorów złośliwego oprogramowania do pomyślnej instalacji rootkitów, tworzenia trwałego złośliwego oprogramowania, ominięcia przejrzystości, zgody i kontroli (TCC) i poszerzyć powierzchnię ataku o dodatkowe techniki i exploity.”
To podejście pozwala atakującym zastąpić zaufane pliki binarne systemu, takie jak Narzędzie dyskowe, w celu wykonania złośliwego kodu.
Zagrożenia związane z exploitami i prywatnością TCC
Druga luka, CVE-2024-44133, dotyczyła platformy przejrzystości, zgody i kontroli (TCC). TCC, wydany w systemie macOS Mojave 10.14, to ważny komponent systemu macOS zarządzający uprawnieniami aplikacji w zakresie dostępu do wrażliwych danych, takich jak kamera, mikrofon i usługi lokalizacyjne.
Usterka umożliwiła atakującym ominięcie zabezpieczeń TCC, umożliwiając nieautoryzowany dostęp do danych użytkownika, w tym historii przeglądania i prywatnych plików systemowych.
Ta luka była szczególnie widoczna w przeglądarce Safari, gdzie umożliwiła atakującym w celu wykorzystania uprawnień dostępu przeglądarki. Firma Microsoft zauważyła, że ten problem może ujawnić poufne informacje użytkownika bez wyraźnej zgody, co jeszcze bardziej podkreśla ryzyko stwarzane przez takie luki.
Chociaż aktualizacje eliminują te konkretne wady, odkrycia podkreślają szersze wyzwania w zakresie zabezpieczania złożonych systemów. Firma Microsoft podkreśliła znaczenie monitorowania anomalnych zachowań w procesach z uprawnieniami prywatnymi, ponieważ mogą one służyć jako punkty wejścia dla wyrafinowanych ataków.
Wgląd techniczne i szersze implikacje
Odkryte luki podkreślają skomplikowaną równowagę pomiędzy funkcjonalnością i bezpieczeństwem w nowoczesnych systemach operacyjnych. Uprawnienia prywatne, choć niezbędne do wewnętrznych operacji systemu macOS, stwarzają znaczne ryzyko w przypadku ich wykorzystania. Procesy takie jak storagekit, które zarządzają krytycznymi zadaniami, takimi jak operacje na dysku, muszą być uważnie monitorowane, aby wykryć potencjalne nadużycia.
Problem z obejściem protokołu SIP pokazuje również, w jaki sposób osoby atakujące mogą wykorzystać komponenty systemu w celu uzyskania wytrwałość i podnoszenie swoich przywilejów. Podobnie luka w zabezpieczeniach TCC ujawnia potrzebę solidnej kontroli uprawnień w celu ochrony prywatności użytkowników. Aktualizacje Apple obejmowały bardziej rygorystyczne środki weryfikacji w ramach TCC i SIP, aby ograniczyć to ryzyko.
