Корпорация Microsoft раскрыла подробности об уже исправленной уязвимости в Apple macOS, при эксплуатации которой злоумышленник, имеющий доступ с правами root, мог обойти защиту операционной системы под названием System Integrity Protection (SIP) и установить вредоносные драйверы путём загрузки сторонних расширений ядра.

Речь идёт об уязвимости CVE-2024-44243, имеющей средний уровень опасности. Apple исправила её в рамках обновления macOS Sequoia 15.2, выпущенного в прошлом месяце. В описании говорится, что проблема заключалась в «настройках конфигурации», из-за которых вредоносное приложение могло изменять защищённые части файловой системы.

«Обход SIP может привести к серьёзным последствиям, таким как повышенная вероятность установки руткитов, создание устойчивых вредоносных программ, обход системы Transparency, Consent and Control (TCC), а также расширение вектора атак за счёт дополнительных методик и эксплойтов», — заявил Джонатан Бар Ор из команды Microsoft Threat Intelligence.

SIP, также известный как «rootless», представляет собой механизм безопасности, препятствующий вредоносному ПО, установленному на Mac, вносить изменения в защищённые части операционной системы, включая /System, /usr, /bin, /sbin, /var и предустановленные приложения.

Механизм SIP работает за счёт применения ряда ограничений к привилегиям пользователя root. Изменять защищённые области могут только процессы, подписанные Apple, которые обладают специальными правами на запись системных файлов (например, обновления и установщики Apple).

Определяющими правами (entitlements) для SIP выступают:

  • com.apple.rootless.install — снимает ограничения файловой системы SIP с процесса, имеющего такое право.
  • com.apple.rootless.install.heritable — снимает ограничения для процесса и всех его дочерних процессов, унаследовавших право com.apple.rootless.install.

CVE-2024-44243 — это очередной обход SIP, обнаруженный Microsoft в macOS после CVE-2021-30892 (Shrootless) и CVE-2023-32369 (Migraine). В данном случае эксплуатируется право «com.apple.rootless.install.heritable», которым обладает демон StorageKit (storagekitd). Это даёт возможность обойти защиту SIP.

Суть проблемы в том, что storagekitd может вызывать произвольные процессы без надлежащей проверки или снижения привилегий. Тем самым злоумышленник, обладающий правами root, может загрузить новый пакет файловой системы в /Library/Filesystems — этот каталог контролируется дочерним процессом storagekitd. После этого существует возможность переопределить двоичные файлы, связанные с «Дисковой утилитой», что теоретически можно активировать при определённых операциях, например, при ремонте диска.

«Запрет на запуск стороннего кода в ядре может повысить надёжность macOS, но, как следствие, уменьшает возможности систем защиты, — отметил Бар Ор. — Если SIP будет обходиться, операционную систему уже нельзя считать надёжной, а при уменьшенной видимости для мониторинга злоумышленники смогут вмешиваться в работу любых средств безопасности на устройстве и оставаться незамеченными».

Ещё по теме: