Κινδύνευει το Mac σας: Αμέσως διορθώστε την εκμετάλλευση SIP

Η Microsoft αποκάλυψε μια ευπάθεια ασφαλείας που επιδιορθώθηκε πρόσφατα στο macOS της Apple, που προσδιορίστηκε ως CVE-2024-44243το οποίο θα μπορούσε να επιτρέψει σε έναν εισβολέα που λειτουργεί με δικαιώματα root να παρακάμψει την Προστασία ακεραιότητας συστήματος (ΓΟΥΛΙΑ) του λειτουργικού συστήματος και να εγκαταστήσετε κακόβουλα προγράμματα οδήγησης πυρήνα μέσω επεκτάσεων πυρήνα τρίτων.

Η Microsoft αποκαλύπτει ευπάθεια στο macOS που επιτρέπει την παράκαμψη SIP

Αυτή η ευπάθεια, η οποία βαθμολογήθηκε με βαθμολογία CVSS 5,5 και ταξινομήθηκε ως μέτριας σοβαρότητας, αντιμετωπίστηκε από την Apple στο macOS Sequoia 15.2, που κυκλοφόρησε τον περασμένο μήνα. Η Apple κατηγοριοποίησε το ζήτημα ως “πρόβλημα διαμόρφωσης” που θα μπορούσε να επιτρέψει σε μια κακόβουλη εφαρμογή να αλλάξει τις προστατευμένες περιοχές του συστήματος αρχείων.

Σύμφωνα με τον Jonathan Bar Or της ομάδας Microsoft Threat Intelligence«Η παράκαμψη του SIP θα μπορούσε να οδηγήσει σε σοβαρές συνέπειες, όπως η αύξηση της δυνατότητας για επιτιθέμενους και δημιουργούς κακόβουλου λογισμικού να εγκαταστήσουν με επιτυχία rootkits, να δημιουργήσουν μόνιμο κακόβουλο λογισμικό, να παρακάμψουν τη Διαφάνεια, τη συναίνεση και τον έλεγχο (TCC) και να επεκτείνουν την επιφάνεια επίθεσης για πρόσθετες τεχνικές και εκμεταλλεύσεις. ”

Το SIP, που αναφέρεται επίσης ως rootless, χρησιμεύει ως πλαίσιο ασφαλείας για να αποτρέψει κακόβουλο λογισμικό από την παραβίαση βασικών στοιχείων του macOS, συμπεριλαμβανομένων καταλόγων όπως /System, /usr, /bin, /sbin, /var και προεγκατεστημένες εφαρμογές. Το SIP επιβάλλει αυστηρές άδειες στον λογαριασμό root, επιτρέποντας τροποποιήσεις σε αυτές τις περιοχές μόνο με διαδικασίες που υπογράφονται από την Apple, συμπεριλαμβανομένων των ενημερώσεων λογισμικού της Apple.

Δύο βασικά δικαιώματα που σχετίζονται με το SIP είναι: com.apple.rootless.install, που επιτρέπει σε μια διαδικασία να παρακάμψει τους περιορισμούς του συστήματος αρχείων του SIP και com.apple.rootless.install.heritable, που επεκτείνει την ίδια δυνατότητα σε όλες τις θυγατρικές διεργασίες της αρχικής διαδικασία.

Η εκμετάλλευση του CVE-2024-44243 χρησιμοποιεί το δικαίωμα “com.apple.rootless.install.heritable” στις δυνατότητες του δαίμονα του Storage Kit (storagekitd) για την παράκαμψη του SIP. Οι εισβολείς μπορούν να αξιοποιήσουν την ικανότητα του storagekitd να επικαλείται αυθαίρετες διεργασίες χωρίς επαρκείς ελέγχους για την εισαγωγή μιας νέας δέσμης συστήματος αρχείων στο /Library/Filesystems, οδηγώντας στην αλλαγή των δυαδικών αρχείων που συνδέονται με το Disk Utility. Αυτό θα μπορούσε να ενεργοποιηθεί κατά τη διάρκεια λειτουργιών όπως η επισκευή δίσκου.

Bar Or αναλύεται, δηλώνοντας, «Δεδομένου ότι ένας εισβολέας που μπορεί να εκτελεστεί ως root μπορεί να ρίξει ένα νέο πακέτο συστήματος αρχείων στο /Library/Filesystems, μπορεί αργότερα να ενεργοποιήσει το storagekitd για να δημιουργήσει προσαρμοσμένα δυαδικά αρχεία, παρακάμπτοντας έτσι το SIP. Η ενεργοποίηση της λειτουργίας διαγραφής στο σύστημα αρχείων που δημιουργήθηκε πρόσφατα μπορεί επίσης να παρακάμψει τις προστασίες SIP.”

Αυτή η αποκάλυψη ακολουθεί μια προηγούμενη αναφορά της Microsoft που περιγράφει λεπτομερώς μια άλλη ευπάθεια στο πλαίσιο TCC του macOS, η οποία παρακολουθείται ως CVE-2024-44133το οποίο επίσης θέτει σε κίνδυνο την ασφάλεια των δεδομένων χρήστη. Ο Bar Or σημείωσε ότι ενώ το SIP ενισχύει την αξιοπιστία του macOS, περιορίζει ταυτόχρονα τις δυνατότητες επίβλεψης των λύσεων ασφαλείας.

Ο Jaron Bradley, διευθυντής των Threat Labs στο Jamf, τόνισε τη σημασία του SIP, δηλώνοντας ότι είναι πρωταρχικός στόχος τόσο για τους ερευνητές όσο και για τους επιτιθέμενους, με πολλά από τα πρωτόκολλα ασφαλείας της Apple που βασίζονται στο SIP να είναι άτρωτα. «Μια εκμετάλλευση του SIP θα μπορούσε να επιτρέψει σε έναν εισβολέα να παρακάμψει αυτές τις προτροπές, να αποκρύψει κακόβουλα αρχεία σε προστατευμένες περιοχές του συστήματος και ενδεχομένως να αποκτήσει βαθύτερη πρόσβαση», πρόσθεσε.

Οι επαγγελματίες της κυβερνοασφάλειας καλούνται να διατηρούν ενημερωμένα τα συστήματα macOS, καθώς η τελευταία ενημέρωση κώδικα αντιμετωπίζει αυτήν την κρίσιμη ευπάθεια, η οποία επιλύθηκε με την ενημέρωση ασφαλείας της Apple στις 11 Δεκεμβρίου. Χωρίς SIP, οι εισβολείς θα μπορούσαν να αναπτύξουν rootkits ή μόνιμο κακόβουλο λογισμικό χωρίς να εντοπιστούν, ακόμη και χωρίς φυσική πρόσβαση στα μηχανήματα.

Οι ειδικοί συνιστούν οι ομάδες ασφαλείας να παρακολουθούν προσεκτικά τις διαδικασίες με ειδικά δικαιώματα που ενδέχεται να παρακάμψουν το SIP. Ο Mayuresh Dani, διευθυντής έρευνας ασφαλείας στην Qualys, πρότεινε ότι «οι ομάδες θα πρέπει να παρακολουθούν προληπτικά τις διαδικασίες με ειδικά δικαιώματα, καθώς αυτά μπορούν να αξιοποιηθούν για να παρακάμψουν το SIP».

Επιπλέον, οι ασυνήθιστες δραστηριότητες διαχείρισης δίσκου και οι άτυπες προνομιακές συμπεριφορές χρηστών θα πρέπει να παρακολουθούνται για την ενίσχυση της ασφάλειας έναντι αυτών των τύπων επιθέσεων. Όπως δείχνουν ευπάθειες όπως το CVE-2024-44243, οι οργανισμοί θα πρέπει να διαχειρίζονται προσεκτικά τις επεκτάσεις του πυρήνα τρίτων κατασκευαστών και να τις ενεργοποιούν μόνο όταν είναι απολύτως απαραίτητο, σε συνδυασμό με αυστηρά πρωτόκολλα παρακολούθησης.

Το ελάττωμα που ανακάλυψε η Microsoft όχι μόνο δείχνει μια συνέχεια σε ζητήματα ασφάλειας, αλλά υπογραμμίζει επίσης τα τρωτά σημεία που υπάρχουν στο macOS, όπως ο πρόσφατος εντοπισμός του κακόβουλου λογισμικού “Banshee” infostealer, το οποίο φέρεται να απέφυγε τα μέτρα προστασίας από ιούς της Apple λόγω κλεμμένου αλγόριθμου κρυπτογράφησης.

Η ανάλυση της Microsoft δείχνει ότι αυτό το συγκεκριμένο ελάττωμα προκύπτει από τον ρόλο του δαίμονα του Storage Kit στην επίβλεψη των λειτουργιών του δίσκου, επιτρέποντας πιθανή εκμετάλλευση με την ενσωμάτωση προσαρμοσμένου κώδικα σε συστήματα αρχείων τρίτων, συμπεριλαμβανομένων των Tuxera, Paragon, EaseUS και iBoysoft.

Πίστωση επιλεγμένης εικόνας: Szabo Viktor/Unsplash