Microsoft: уязвимость macOS позволяет хакерам устанавливать вредоносные драйверы ядра

2025-01-14 955 комментарии
Уязвимость macOS CVE-2024-44243 позволяла хакерам обходить защиту целостности системы (SIP) и устанавливать вредоносные драйверы ядра. Apple исправила проблему в обновлении Sequoia 15.2

Microsoft: уязвимость macOS позволяет хакерам устанавливать вредоносные драйверы ядра

Компания Apple недавно устранила уязвимость в macOS, которая позволяла злоумышленникам обходить защиту целостности системы (System Integrity Protection, SIP) и устанавливать вредоносные драйверы ядра с помощью загрузки сторонних расширений ядра.

Функция защиты целостности системы, также известная как «rootless», — это функция безопасности macOS, предотвращающая изменение определенных папок и файлов вредоносным ПО. Она ограничивает привилегии суперпользователя (root) в защищенных областях.

SIP разрешает вносить изменения в защищенные компоненты macOS только процессам с подписью Apple или с особыми разрешениями, такими как обновления ПО от Apple. Обычно отключение SIP требует перезагрузки системы и загрузки из режима восстановления macOS (macOS Recovery), что требует физического доступа к устройству.

Уязвимость с идентификатором CVE-2024-44243 была обнаружена в демоне Storage Kit, который управляет состоянием дисков. Она может быть использована локальными атакующими с правами root в атаках низкой сложности, требующих взаимодействия с пользователем.

Успешная эксплуатация уязвимости позволяет обходить ограничения SIP без физического доступа, что дает возможность устанавливать руткиты (драйверы ядра), создавать устойчивое («неудаляемое») вредоносное ПО или обходить проверки безопасности Transparency, Consent, and Control (TCC), чтобы получить доступ к данным жертв.

Apple исправила эту уязвимость в обновлениях безопасности для macOS Sequoia 15.2, выпущенных 11 декабря 2024 года.

В отчете Microsoft сообщается:

System Integrity Protection (SIP) — это критически важный механизм защиты от вредоносного ПО, атак и других киберугроз, который является фундаментальным уровнем защиты для macOS.

Обход SIP влияет на безопасность всей операционной системы и может привести к серьезным последствиям, подчеркивая необходимость комплексных решений безопасности, способных обнаруживать аномальное поведение процессов с особыми разрешениями.

За последние годы исследователи Microsoft обнаружили множество уязвимостей в macOS. В 2021 году был выявлен обход SIP, названный Shrootless (CVE-2021-30892), который также позволяет выполнять произвольные операции на скомпрометированных Mac и, возможно, устанавливать руткиты.

Совсем недавно были найдены обход SIP, получивший название Migraine (CVE-2023-32369), и уязвимость Achilles (CVE-2022-42821), позволяющая распространять вредоносное ПО через ненадежные приложения, обходящие ограничения Gatekeeper.

Главный исследователь безопасности Microsoft, Джонатан Бар Ор (Jonathan Bar Or), также обнаружил уязвимость powerdir (CVE-2021-30970), которая позволяет обходить технологию Transparency, Consent, and Control (TCC) для доступа к защищенным данным пользователей macOS.

© . По материалам Bleepingcomputer
Комментарии и отзывы

Нашли ошибку?

Новое на сайте