Κίνδυνος για macOS: Εγκατάσταση κακόβουλων προγραμμάτων οδήγησης από χάκερ

Η Apple αντιμετώπισε πρόσφατα μια ευπάθεια στο macOS που επιτρέπει στους εισβολείς να παρακάμψουν την Προστασία Ακεραιότητας Συστήματος (SIP) και να εγκαταστήσουν κακόβουλα προγράμματα οδήγησης πυρήνα φορτώνοντας επεκτάσεις πυρήνα τρίτων.

Η Προστασία Ακεραιότητας Συστήματος (SIP) ή «χωρίς root», είναι μια δυνατότητα ασφαλείας του macOS που εμποδίζει το κακόβουλο λογισμικό να αλλάξει συγκεκριμένους φακέλους και αρχεία περιορίζοντας τις εξουσίες του λογαριασμού χρήστη root σε προστατευμένες περιοχές.

Το SIP επιτρέπει μόνο σε διαδικασίες υπογεγραμμένες από την Apple ή σε εκείνες με ειδικά δικαιώματα, όπως ενημερώσεις λογισμικού Apple, να τροποποιούν στοιχεία που προστατεύονται από macOS. Η απενεργοποίηση του SIP απαιτεί συνήθως επανεκκίνηση του συστήματος και εκκίνηση από το macOS Recovery (το ενσωματωμένο σύστημα ανάκτησης), το οποίο απαιτεί φυσική πρόσβαση σε μια παραβιασμένη συσκευή μηχανής.

Το ελάττωμα ασφαλείας (παρακολουθείται ως CVE-2024-44243), το οποίο μπορεί να εκμεταλλευτεί μόνο τοπικοί εισβολείς με δικαιώματα root σε επιθέσεις χαμηλής πολυπλοκότητας που απαιτούν αλληλεπίδραση με τον χρήστη, βρέθηκε στον δαίμονα του Storage Kit που χειρίζεται τη διατήρηση κατάστασης δίσκου.

Η επιτυχής εκμετάλλευση θα μπορούσε να επιτρέψει στους εισβολείς να παρακάμψουν τους ριζικούς περιορισμούς SIP χωρίς φυσική πρόσβαση για να εγκαταστήσουν rootkits (προγράμματα οδήγησης πυρήνα), να δημιουργήσουν μόνιμο, “μη διαγράψιμο” κακόβουλο λογισμικό ή να παρακάμψουν τους ελέγχους ασφαλείας διαφάνειας, συναίνεσης και ελέγχου (TCC) για πρόσβαση στα δεδομένα των θυμάτων.

Η Apple έχει διορθώσει την ευπάθεια στις ενημερώσεις ασφαλείας για macOS Sequoia 15.2κυκλοφόρησε πριν από ένα μήνα, στις 11 Δεκεμβρίου 2024.

“Η Προστασία Ακεραιότητας Συστήματος (SIP) χρησιμεύει ως κρίσιμη προστασία έναντι κακόβουλου λογισμικού, εισβολέων και άλλων απειλών για την ασφάλεια στον κυβερνοχώρο, δημιουργώντας ένα θεμελιώδες επίπεδο προστασίας για συστήματα macOS.” είπε σήμερα η Microsoft σε μια αναφορά που παρέχει περισσότερες τεχνικές λεπτομέρειες για το CVE-2024-44243.

“Η παράκαμψη του SIP επηρεάζει την ασφάλεια ολόκληρου του λειτουργικού συστήματος και θα μπορούσε να οδηγήσει σε σοβαρές συνέπειες, τονίζοντας την ανάγκη για ολοκληρωμένες λύσεις ασφαλείας που μπορούν να ανιχνεύσουν ανώμαλη συμπεριφορά από διαδικασίες που έχουν ειδικά δικαιώματα”.

Οι ερευνητές ασφαλείας της Microsoft έχουν ανακαλύψει πολλά τρωτά σημεία στο macOS τα τελευταία χρόνια. Μια παράκαμψη SIP με την ονομασία “Shrootless” (CVE-2021-30892), που αναφέρθηκε το 2021, επιτρέπει επίσης στους εισβολείς να εκτελούν αυθαίρετες λειτουργίες σε παραβιασμένους Mac και ενδεχομένως να εγκαταστήσουν rootkits.

Πιο πρόσφατα, βρήκαν επίσης μια άλλη παράκαμψη SIP με την ονομασία «Ημικρανία» (CVE-2023-32369) και ένα ελάττωμα ασφαλείας γνωστό ως Αχιλλέας (CVE-2022-42821), το οποίο μπορεί να αξιοποιηθεί για την ανάπτυξη κακόβουλου λογισμικού μέσω μη αξιόπιστων εφαρμογών που μπορούν να παρακάμψουν τους περιορισμούς εκτέλεσης του Gatekeeper.

Ο κύριος ερευνητής ασφάλειας της Microsoft, Jonathan Bar Or, ανακάλυψε επίσης το “powerdir” (CVE-2021-30970), μια άλλη ευπάθεια του macOS που επιτρέπει στους εισβολείς να παρακάμπτουν την τεχνολογία Transparency, Consent and Control (TCC) για να αποκτήσουν πρόσβαση στα προστατευμένα δεδομένα των χρηστών macOS.