Apple a rezolvat recent două vulnerabilități semnificative în macOS care au expus utilizatorii la persistența potențială a malware și accesul neautorizat la date sensibile.
Aceste probleme, descoperite de cercetătorii Microsoft (prin SecurityAffairs ), a implicat defecte critice în Protecția integrității sistemului (SIP) și transparență, consimțământ și control (TCC) . Patched în macOS sequoia 15.2, aceste vulnerabilități ilustrează importanța îmbunătățirilor continue pentru securitatea macOS.
Primul defect, urmărit ca CVE-2024-44243, a permis atacatorilor cu acces la rădăcină la SIP Bypass, un Core MacOS Security Security Security Security MacOS Core MacOS Security Securitate caracteristică care împiedică modificările neautorizate ale sistemului. Al doilea, identificat ca CVE-2024-44133 și poreclit „HM Surf”, slăbiciuni exploatate în TCC, permițând accesul neautorizat la date sensibile.
Înțelegerea vulnerabilității SIP
Protecția integrității sistemului , introdusă în macOS pentru a proteja fișierele și procesele critice ale sistemului, aplică protocoale de securitate stricte. Notarizat de Apple sau instalat prin intermediul App Store poate modifica părți protejate ale sistemului de operare. P> Drepturile private sunt permisiuni specializate rezervate funcțiilor macOS interne, cum ar fi com.apple.rootless.install.Heribletable . Acest drept, atunci când este moștenit de procesele copilului, le permite să ocolească restricțiile de SIP, expunând astfel sistemul la instalații rootkit și alte acțiuni rău intenționate.
înrudit: MacOS Safari Vulnerabilitatea expune date sensibile la date sensibile
Microsoft a evidențiat rolul macOS Daemon StorageKitd , responsabil pentru operațiunile de gestionare a discului. Atacatorii ar putea exploata acest demon pentru a adăuga pachete de sistem de fișiere personalizate la /bibliotecă/fișierele de fișiere .
Potrivit Microsoft, „Deoarece un atacator care poate rula ca rădăcină poate renunța la un nou pachet de sistem de fișiere către/bibliotecă/sisteme de fișiere, acestea pot declanșa mai târziu Storagekitd pentru a genera binare personalizate, de aici ocolind SIP. , „Ocolirea SIP ar putea duce la consecințe grave, cum ar fi creșterea potențialului pentru atacatori și autori malware de a instala cu succes rootkits, de a crea malware persistent, de a ocoli transparența, consimțământul și controlul (TCC) și extinde suprafața de atac pentru tehnici și exploatări suplimentare.”
Această abordare permite atacatorilor să înlocuiască binarele de sistem de încredere, cum ar fi utilitatea discului, să execute coduri rău intenționate.
TCC Exploit și riscuri de confidențialitate
A doua vulnerabilitate, CVE-2024-44133, a vizat cadrul de transparență, consimțământ și control (TCC). TCC, lansat în MacOS Mojave 10.14, este o componentă vitală macOS care gestionează permisiunile aplicației pentru accesarea datelor sensibile, cum ar fi serviciile de cameră, microfon și locație.
Defectul le-a permis atacatorilor să ocolească protecțiile TCC, permițând accesul neautorizat la datele utilizatorilor, inclusiv istoricul navigării și fișierele de sistem privat.
Această vulnerabilitate a fost deosebit de impactantă asupra safari pentru a exploata permisiunile de acces ale browserului. Microsoft a menționat că această problemă ar putea expune informații despre utilizatori sensibile fără consimțământ explicit, subliniind în continuare riscurile prezentate de astfel de vulnerabilități.
În timp ce actualizările rezolvă aceste defecte specifice, descoperirile subliniază provocări mai largi în asigurarea sistemelor complexe. Microsoft a subliniat importanța monitorizării comportamentului anomal în procesele cu drepturi private, deoarece acestea pot servi drept puncte de intrare pentru atacuri sofisticate.
perspective tehnice și implicații mai largi
Vulnerabilitățile descoperite evidențiază echilibrul complex între funcționalitate și securitate în sistemele de operare moderne. Drepturile private, deși sunt esențiale pentru operațiunile interne de macOS, prezintă riscuri semnificative dacă sunt exploatate. Procese precum Storagekit , care gestionează sarcini critice, cum ar fi operațiunile pe disc, trebuie monitorizate cu atenție pentru a detecta potențialul abuz.
Problema de bypass SIP demonstrează, de asemenea, modul în care atacatorii pot exploata componentele sistemului pentru a obține pentru a obține componentele sistemului persistența și ridică-le privilegiile. În mod similar, vulnerabilitatea TCC dezvăluie necesitatea unor controale de permisiune robuste pentru a proteja confidențialitatea utilizatorilor. Actualizările Apple au inclus măsuri de validare mai stricte în cadrul TCC și SIP pentru a atenua aceste riscuri.
