Корпорация Microsoft раскрыла подробности об уже исправленной уязвимости в Apple macOS, при эксплуатации которой злоумышленник, имеющий доступ с правами root, мог обойти защиту операционной системы под названием System Integrity Protection (SIP) и установить вредоносные драйверы путём загрузки сторонних расширений ядра.
Речь идёт об уязвимости CVE-2024-44243, имеющей средний уровень опасности. Apple исправила её в рамках обновления macOS Sequoia 15.2, выпущенного в прошлом месяце. В описании говорится, что проблема заключалась в «настройках конфигурации», из-за которых вредоносное приложение могло изменять защищённые части файловой системы.
«Обход SIP может привести к серьёзным последствиям, таким как повышенная вероятность установки руткитов, создание устойчивых вредоносных программ, обход системы Transparency, Consent and Control (TCC), а также расширение вектора атак за счёт дополнительных методик и эксплойтов», — заявил Джонатан Бар Ор из команды Microsoft Threat Intelligence.
SIP, также известный как «rootless», представляет собой механизм безопасности, препятствующий вредоносному ПО, установленному на Mac, вносить изменения в защищённые части операционной системы, включая /System, /usr, /bin, /sbin, /var и предустановленные приложения.
Механизм SIP работает за счёт применения ряда ограничений к привилегиям пользователя root. Изменять защищённые области могут только процессы, подписанные Apple, которые обладают специальными правами на запись системных файлов (например, обновления и установщики Apple).
Определяющими правами (entitlements) для SIP выступают:
- com.apple.rootless.install — снимает ограничения файловой системы SIP с процесса, имеющего такое право.
- com.apple.rootless.install.heritable — снимает ограничения для процесса и всех его дочерних процессов, унаследовавших право com.apple.rootless.install.
CVE-2024-44243 — это очередной обход SIP, обнаруженный Microsoft в macOS после CVE-2021-30892 (Shrootless) и CVE-2023-32369 (Migraine). В данном случае эксплуатируется право «com.apple.rootless.install.heritable», которым обладает демон StorageKit (storagekitd). Это даёт возможность обойти защиту SIP.
Суть проблемы в том, что storagekitd может вызывать произвольные процессы без надлежащей проверки или снижения привилегий. Тем самым злоумышленник, обладающий правами root, может загрузить новый пакет файловой системы в /Library/Filesystems — этот каталог контролируется дочерним процессом storagekitd. После этого существует возможность переопределить двоичные файлы, связанные с «Дисковой утилитой», что теоретически можно активировать при определённых операциях, например, при ремонте диска.
«Запрет на запуск стороннего кода в ядре может повысить надёжность macOS, но, как следствие, уменьшает возможности систем защиты, — отметил Бар Ор. — Если SIP будет обходиться, операционную систему уже нельзя считать надёжной, а при уменьшенной видимости для мониторинга злоумышленники смогут вмешиваться в работу любых средств безопасности на устройстве и оставаться незамеченными».
Ещё по теме:
- Автор «Эмануэль и правда о рыбах» обвиняет создателей «Дома с прислугой» в плагиате
- Lumon Industries в Гранд Централ: Apple погружает посетителей в мир «Разделения»
- Глава Microsoft заявил, что человечество стоит на пороге крупнейшей технологической революции
