Ssylka

Как уязвимость macOS позволяет внедрять руткиты, игнорируя защиту целостности системы?

В мире цифровой безопасности, где постоянная бдительность является ключом, недавнее открытие уязвимости в macOS вызвало серьезные опасения. Эта уязвимость, обозначенная как CVE-2024-44243, представляет собой обход системы защиты целостности (SIP), что потенциально позволяет злоумышленникам устанавливать руткиты, получая несанкционированный контроль над системой.
Как уязвимость macOS позволяет внедрять руткиты, игнорируя защиту целостности системы?
Изображение носит иллюстративный характер

SIP, или System Integrity Protection, является краеугольным камнем безопасности macOS, разработанным для предотвращения несанкционированного доступа и изменения ключевых областей операционной системы, таких как каталоги /System, /usr, /bin, /sbin, и /var, а также предустановленных приложений. Эта защита гарантирует, что злонамеренное программное обеспечение не сможет внести вредоносные изменения в основные функции системы. Однако, CVE-2024-44243 позволяет обойти этот важный защитный механизм.

Суть уязвимости заключается в злоупотреблении механизмом storagekitd, демоном, связанным с управлением хранилищем данных. Эксплуатация происходит через использование разрешения "com.apple.rootless.install.heritable", которое в нормальных условиях используется для временного снятия ограничений SIP. Однако, при неправильной реализации, это разрешение позволяет запускать произвольные процессы и перезаписывать бинарные файлы, такие как Дисковая Утилита. Таким образом, злоумышленник может установить вредоносный код, который будет действовать от имени доверенного системного компонента.

Последствия успешного обхода SIP могут быть катастрофическими. Злоумышленник может установить руткиты, которые могут сохраняться на компьютере длительное время, оставаясь незамеченными. Также, появляется возможность обходить TCC (Transparency, Consent and Control), механизм, контролирующий доступ приложений к персональным данным. Расширение поверхности атаки, вызванное обходом SIP, может сделать операционную систему ненадежной и непредсказуемой, затрудняя обнаружение и устранение вредоносной активности.

Ответственность за обнаружение и сообщение об уязвимости лежит на команде Microsoft Threat Intelligence, возглавляемой Джонатаном Бар Ором. Apple, с другой стороны, исправила эту проблему, выпустив macOS Sequoia 15.2, где CVE-2024-44243 была устранена. Apple описала проблему как «проблему конфигурации». Директор Threat Labs компании Jamf, Джарон Брэдли, подчеркнул серьезность данной уязвимости.

Примечательно, что это не первый случай, когда Microsoft обнаруживает критическую уязвимость в macOS. Ранее, Microsoft раскрыла обходы SIP, известные как CVE-2021-30892 (Shrootless) и CVE-2023-32369 (Migraine). Кроме того, Microsoft сообщила об уязвимости в TCC, получившую идентификатор CVE-2024-44133 (HM Surf), которая была обнаружена примерно три месяца назад. Все эти случаи подчеркивают необходимость постоянного внимания к безопасности macOS и важности своевременных обновлений.

Ключевым моментом для пользователей macOS является своевременная установка обновлений операционной системы. Оперативное применение патчей, таких как исправление для CVE-2024-44243 в macOS Sequoia 15.2, является необходимым для защиты от подобных атак. Обход SIP способен нарушить работу всей операционной системы, снижая ее способность обнаруживать и предотвращать вредоносную деятельность.

Уязвимости в системе безопасности являются постоянным вызовом в цифровом мире. В то время как обеспечение безопасности операционной системы путем запрета стороннего кода в ядре может повысить стабильность, в то же время это может ограничивать возможности мониторинга для решений безопасности. Всегда присутствует некий баланс, который необходимо учитывать. Это еще раз подчеркивает, что ни одна система не является абсолютно неуязвимой, и постоянная бдительность и своевременное реагирование на угрозы имеют первостепенное значение для защиты данных и обеспечения целостности системы.


Новое на сайте

16992Почему старые уязвимости в роутерах D-Link внезапно стали реальной угрозой? 16991Клешня против клешни: робот раскрывает тактику крабов 16990Сможет ли корпорация под управлением ИИ превзойти человеческие ограничения? 16989Может ли воображаемый сценарий изменить реальную жизнь? 16988Молекулярное яблочко эволюции: общий секрет ящериц и млекопитающих 16987Как золото осталось твёрдым при температуре 18 700 °C 16986Сокровища каньона Мар-дель-Плата: экспедиция открывает 40 невиданных видов 16985Как проверка на робота превратилась в глобальную киберугрозу? 16984Физика морских монстров: предсказуемая ярость океана 16983Чем опасна болезнь легионеров, унесшая жизни в Нью-Йорке? 16982Архитектура мира: как растение на Фиджи приручило враждующие колонии муравьев 16981Распродажа Coway: скидки до 27% на технологии чистого воздуха 16980Почему традиционная кибербезопасность бессильна перед атаками на искусственный интеллект? 16979Какие критические уязвимости в вашем Android-смартфоне уже используются хакерами? 16978Радиоактивный щит для носорогов