Apple gần đây đã giải quyết hai lỗ hổng nghiêm trọng trong macOS khiến người dùng có thể gặp phải nguy cơ tồn tại của phần mềm độc hại và truy cập trái phép vào dữ liệu nhạy cảm.
Những vấn đề này đã được các nhà nghiên cứu của Microsoft phát hiện (thông qua Vấn đề bảo mật), liên quan đến các lỗi nghiêm trọng trong Bảo vệ tính toàn vẹn của hệ thống (SIP) và Khuôn khổ minh bạch, chấp thuận và kiểm soát (TCC). Được vá trong macOS Sequoia 15.2, những lỗ hổng này cho thấy tầm quan trọng của việc liên tục cải tiến bảo mật macOS.
Lỗ hổng đầu tiên, được theo dõi là CVE-2024-44243, cho phép kẻ tấn công có quyền truy cập root để vượt qua SIP, một bảo mật cốt lõi của macOS tính năng ngăn chặn những thay đổi trái phép đối với hệ thống. Lỗ hổng thứ hai, được xác định là CVE-2024-44133 và có biệt danh là “HM Surf”, khai thác điểm yếu trong TCC, cho phép truy cập trái phép vào dữ liệu nhạy cảm.
Hiểu về lỗ hổng SIP
Bảo vệ tính toàn vẹn của hệ thống, được giới thiệu trong macOS để bảo vệ các tệp và quy trình quan trọng của hệ thống, Nó thực thi các giao thức bảo mật nghiêm ngặt để đảm bảo rằng chỉ những ứng dụng được Apple ký và công chứng hoặc được cài đặt qua App Store mới có thể sửa đổi các phần được bảo vệ của hệ điều hành. quyền được nhúng trong hệ thống cụ thể các quy trình.
Quyền riêng tư là các quyền chuyên biệt dành riêng cho các chức năng nội bộ của macOS, chẳng hạn như com.apple.rootless.install.heritable. Quyền này, khi được các tiến trình con kế thừa, cho phép chúng vượt qua các hạn chế SIP, từ đó khiến hệ thống có thể bị cài đặt rootkit và các hành động độc hại khác.
Liên quan: Lỗ hổng macOS Safari làm lộ dữ liệu nhạy cảm
Microsoft nhấn mạnh vai trò của daemon macOS storagekitd, chịu trách nhiệm về các hoạt động quản lý ổ đĩa. Những kẻ tấn công có thể khai thác daemon này để thêm các gói hệ thống tệp tùy chỉnh vào /Library/Filesystems.
Theo Microsoft, “Vì kẻ tấn công có thể chạy bằng root có thể thả gói hệ thống tệp mới vào/Library/Filesystems, nên sau đó chúng có thể kích hoạt storagekitd để tạo ra các tệp nhị phân tùy chỉnh, do đó bỏ qua SIP.”Microsoft cho biết “Việc vượt qua SIP có thể dẫn đến hậu quả nghiêm trọng, chẳng hạn như tăng khả năng cho kẻ tấn công và tác giả phần mềm độc hại cài đặt thành công rootkit, tạo phần mềm độc hại dai dẳng, vượt qua Tính minh bạch, Sự đồng ý và Kiểm soát (TCC) cũng như mở rộng bề mặt tấn công cho các kỹ thuật bổ sung và khai thác.”
Phương pháp này cho phép kẻ tấn công ghi đè các tệp nhị phân của hệ thống đáng tin cậy, chẳng hạn như Disk Utility, để thực thi mã độc.
Rủi ro khai thác và quyền riêng tư của TCC
Lỗ hổng thứ hai, CVE-2024-44133, nhắm mục tiêu vào khuôn khổ Minh bạch, Đồng ý và Kiểm soát (TCC). TCC, được phát hành trong macOS Mojave 10.14, là một thành phần quan trọng của macOS giúp quản lý các quyền của ứng dụng để truy cập dữ liệu nhạy cảm, chẳng hạn như máy ảnh, micrô và dịch vụ định vị.
Lỗ hổng này cho phép kẻ tấn công vượt qua các biện pháp bảo vệ TCC, cho phép truy cập trái phép vào dữ liệu người dùng, bao gồm lịch sử duyệt web và các tệp hệ thống riêng tư.
Lỗ hổng này đặc biệt ảnh hưởng đến Safari, nơi nó cho phép kẻ tấn công để khai thác quyền truy cập của trình duyệt. Microsoft lưu ý rằng vấn đề này có thể làm lộ thông tin nhạy cảm của người dùng mà không có sự đồng ý rõ ràng, điều này nhấn mạnh hơn nữa những rủi ro do các lỗ hổng đó gây ra.
Trong khi các bản cập nhật giải quyết các lỗ hổng cụ thể này, những khám phá này nhấn mạnh những thách thức lớn hơn trong việc bảo mật các hệ thống phức tạp. Microsoft nhấn mạnh tầm quan trọng của việc giám sát hành vi bất thường trong các quy trình có quyền riêng tư, vì những quyền này có thể đóng vai trò là điểm khởi đầu cho các cuộc tấn công tinh vi.
Thông tin chi tiết về kỹ thuật và Ý nghĩa rộng hơn
Các lỗ hổng được phát hiện nêu bật sự cân bằng phức tạp giữa chức năng và bảo mật trong các hệ điều hành hiện đại. Các quyền riêng tư, mặc dù cần thiết cho hoạt động nội bộ của macOS nhưng lại gây ra rủi ro đáng kể nếu bị khai thác. Các quy trình như storagekit quản lý các tác vụ quan trọng như hoạt động của ổ đĩa phải được giám sát cẩn thận để phát hiện hành vi lạm dụng tiềm ẩn.
Vấn đề bỏ qua SIP cũng cho thấy cách kẻ tấn công có thể khai thác các thành phần hệ thống để chiếm đoạt kiên trì và nâng cao đặc quyền của họ. Tương tự, lỗ hổng TCC cho thấy sự cần thiết phải có các biện pháp kiểm soát quyền mạnh mẽ để bảo vệ quyền riêng tư của người dùng. Các bản cập nhật của Apple bao gồm các biện pháp xác thực chặt chẽ hơn trong TCC và SIP để giảm thiểu những rủi ro này.
