Nalutas kamakailan ng Apple ang dalawang makabuluhang kahinaan sa macOS na naglantad sa mga user sa potensyal na pagtitiyaga ng malware at hindi awtorisadong pag-access sa sensitibong data.
Ang mga isyung ito, na natuklasan ng mga mananaliksik ng Microsoft (sa pamamagitan ng Securityaffairs), may kinalaman sa mga kritikal na depekto sa System Integrity Protection (SIP) at ang Transparency, Pahintulot, at Control (TCC) framework. Na-patch sa macOS Sequoia 15.2, ang mga kahinaang ito ay naglalarawan ng kahalagahan ng patuloy na pagpapabuti sa seguridad ng macOS.
Ang unang depekto, na sinusubaybayan bilang CVE-2024-44243, ay nagbigay-daan sa mga umaatake na may root access na i-bypass ang SIP, isang pangunahing seguridad ng macOS tampok na pumipigil sa mga hindi awtorisadong pagbabago sa system. Ang pangalawa, na kinilala bilang CVE-2024-44133 at binansagang”HM Surf,”ay nagsamantala ng mga kahinaan sa TCC, na nagbibigay-daan sa hindi awtorisadong pag-access sa sensitibong data.
Pag-unawa sa SIP Vulnerability
System Integrity Protection, ipinakilala sa macOS upang pangalagaan ang mga file at prosesong kritikal sa system, nagpapatupad ng mga mahigpit na protocol ng seguridad ang operating system.
Gayunpaman, natuklasan ng mga mananaliksik ng Microsoft na ang pananggalang na ito ay maaaring i-bypass gamit ang mga pribadong entitlement na naka-embed sa mga partikular na proseso ng system.
Ang mga pribadong entitlement ay mga espesyal na pahintulot na nakalaan para sa mga panloob na function ng macOS, tulad ng bilang com.apple.rootless.install.heritable. Ang karapatan na ito, kapag minana ng mga proseso ng bata, ay nagbibigay-daan sa kanila na i-bypass ang mga paghihigpit sa SIP, at sa gayon ay inilalantad ang system sa mga pag-install ng rootkit at iba pang malisyosong pagkilos.
Nauugnay: Ang macOS Safari Vulnerability ay Nagpapakita ng Sensitibong Data
Na-highlight ng Microsoft ang papel ng macOS daemon storagekitd, na responsable para sa mga pagpapatakbo ng pamamahala ng disk. Maaaring samantalahin ng mga attacker ang daemon na ito upang magdagdag ng mga custom na file system bundle sa /Library/Filesystems.
Ayon sa Microsoft,”Dahil ang isang attacker na maaaring tumakbo bilang root ay maaaring mag-drop ng isang bagong file system bundle sa/Library/Filesystems, maaari nilang i-trigger ang storagekitd sa ibang pagkakataon upang mag-spawn ng mga custom na binary, samakatuwid ay nilalampasan ang SIP.”Sinabi ng Microsoft ,”Ang pag-bypass sa SIP ay maaaring humantong sa malubhang kahihinatnan, tulad ng pagtaas ng potensyal para sa mga umaatake at may-akda ng malware na matagumpay na mag-install ng mga rootkit, lumikha ng patuloy na malware, lampasan ang Transparency, Consent and Control (TCC), at palawakin ang attack surface para sa mga karagdagang diskarte at pagsasamantala.”
Ang diskarteng ito ay nagbibigay-daan sa mga attacker na i-override ang mga pinagkakatiwalaang binary ng system, gaya ng Disk Utility, upang magsagawa ng malisyosong code.
Mga Panganib sa Pagsasamantala at Pagkapribado ng TCC
Ang pangalawang kahinaan, CVE-2024-44133, ay naka-target sa Transparency, Pahintulot, at Control (TCC) framework. Ang TCC, na inilabas sa macOS Mojave 10.14, ay isang mahalagang bahagi ng macOS na namamahala sa mga pahintulot ng app para sa pag-access ng sensitibong data, gaya ng camera, mikropono, at mga serbisyo ng lokasyon.
Ang kapintasan ay nagbigay-daan sa mga umaatake na lampasan ang mga proteksyon ng TCC, na nagbibigay-daan sa hindi awtorisadong pag-access sa data ng user, kabilang ang kasaysayan ng pagba-browse at mga pribadong file ng system.
Ang kahinaang ito ay partikular na nakakaapekto sa Safari, kung saan pinagana nito ang mga umaatake. upang pagsamantalahan ang mga pahintulot sa pag-access ng browser. Nabanggit ng Microsoft na ang isyung ito ay maaaring maglantad ng sensitibong impormasyon ng user nang walang tahasang pahintulot, na higit na binibigyang-diin ang mga panganib na dulot ng naturang mga kahinaan.
Habang niresolba ng mga pag-update ang mga partikular na bahid na ito, binibigyang-diin ng mga natuklasan ang mas malawak na hamon sa pag-secure ng mga kumplikadong system. Binigyang-diin ng Microsoft ang kahalagahan ng pagsubaybay sa maanomalyang gawi sa mga prosesong may mga pribadong karapatan, dahil ang mga ito ay magsisilbing entry point para sa mga sopistikadong pag-atake.
Mga Teknikal na Insight at Mas Malapad na Implikasyon
Ang mga natuklasang kahinaan ay nagtatampok sa masalimuot na balanse sa pagitan ng functionality at seguridad sa mga modernong operating system. Ang mga pribadong karapatan, bagama’t mahalaga para sa mga panloob na operasyon ng macOS, ay nagpapakita ng malalaking panganib kung pinagsamantalahan. Ang mga proseso tulad ng storagekit, na namamahala sa mga kritikal na gawain gaya ng mga pagpapatakbo ng disk, ay dapat na maingat na subaybayan upang makita ang mga potensyal na pang-aabuso.
Ang isyu ng SIP bypass ay nagpapakita rin kung paano maaaring pagsamantalahan ng mga umaatake ang mga bahagi ng system upang makakuha ng pagpupursige at iangat ang kanilang mga pribilehiyo. Katulad nito, ipinapakita ng kahinaan ng TCC ang pangangailangan para sa matatag na mga kontrol sa pahintulot upang pangalagaan ang privacy ng user. Kasama sa mga update ng Apple ang mas mahigpit na mga hakbang sa pagpapatunay sa loob ng TCC at SIP para mabawasan ang mga panganib na ito.
