MacOS, işletim sistemini kötü amaçlı yazılımlara ve diğer tehditlere karşı korumaktan sorumlu olan Sistem Bütünlüğü Koruması veya SIP adı verilen kritik bir bileşene sahiptir. Bunu, kök ayrıcalıklarına sahip kullanıcılar için bile sistem düzeyindeki işlemleri kısıtlayarak, temelde yetkisiz yazılımların korunan alanlardaki belirli klasör ve dosyaları değiştirmesini önleyerek yapar.
SIP’yi devre dışı bırakmak normalde sistemin yeniden başlatılmasını ve macOS kurtarma işleminden önyükleme yapılmasını gerektirir; bu da güvenliği ihlal edilmiş bir makineye fiziksel erişim gerektirir. Ancak Microsoft Tehdit İstihbaratı ekibinin üyeleri bir güvenlik açığı keşfetti (şu şekilde izlendi: CVE-2024-44243 ve ara sıra ‘Migren’ olarak rapor edilir; bu, SIP’yi atlar ve üçüncü taraf çekirdek uzantılarının yüklenmesine izin verir. Bu kusur, tüm Mac kullanıcıları için ciddi güvenlik sorunlarına yol açabilir.
Tehdit aktörleri, bu güvenlik açığından yararlanarak TCC politikalarını yöneten veritabanlarını değiştirerek hassas verilere erişebilir; bu da konum, tarama geçmişi, kamera ve mikrofon erişiminin tamamının kullanıcının izni olmadan mümkün olacağı anlamına gelir. SIP’nin atlanması aynı zamanda kötü amaçlı yazılımların veya rootkit’lerin yüklenmesine, tespit edilmekten kaçınmak için güvenlik araçlarının devre dışı bırakılmasına veya değiştirilmesine ve ek saldırı fırsatları yaratılmasına neden olabilir. Hatta bir saldırganın varsayımsal olarak SIP tarafından korunan ve sıradan yollarla silinemeyen dosyalar bile oluşturabileceği belirtiliyor. Microsoft’un araştırmacıları.
Apple tarafından, kötü amaçlı bir uygulamanın sistemin korunan kısımlarını değiştirmesine izin verebilecek bir mantık sorunu olarak tanımlanan şirket, geçen yılın Aralık ayında bu güvenlik açığına yönelik bir yama yayınladı; macOS Sequoia 15.2’den bu yana yapılan güncellemeler bunun için de düzeltmeler içeriyor.
Microsoft Tehdit İstihbaratı ekibi, disk durumu işlemlerini yönetmekten sorumlu kritik bir macOS işlemi olan Storage Kit arka plan programında belirli bir güvenlik açığını belirledi. Bu kusur, kök erişimi olan saldırganların, yetkisiz eylemler gerçekleştirmek üzere özel dosya sistemi paketlerini enjekte edip etkinleştirerek SIP korumalarını atlamasına olanak tanıyabilir. Baypasın kendisi, keyfi bir veriyi başlatmak için geçiş sürecini etkinleştiren yerleşik bir macOS aracı olan Migration Assistant’tan yararlanılarak mümkün oluyor.
Microsoft ekibi ayrıca Tuxera, Paragon, EaseUS ve iBoysoft dahil olmak üzere birçok üçüncü taraf dosya sistemi uygulamasının istismara açık olduğunu tespit etti. Saldırganlar, bu dosya sistemlerine özel kod yerleştirerek ve Disk Yardımcı Programı veya ‘diskutil’ komutu gibi araçlar kullanarak SIP’yi atlatabilir ve Apple’ın çekirdek uzantısı hariç tutma listesini geçersiz kılabilir.
Safari tarayıcısı için TCC korumasını kaldıran farklı bir bypass tekniği, Apple’ın 16 Eylül’de bu güvenlik açığına yönelik bir yama yayınlamasıyla daha önce bulunmuştu. Ağustos ayında sunulan rapor, altı Microsoft uygulamasının, herhangi bir kullanıcı etkileşimi olmadan hassas bilgilere yetkisiz erişime izin verebilecek, e-posta gönderebilecek, video ve ses kaydedebilecek açıklardan yararlanmaya karşı savunmasız olduğunu gösterdi. Bu uygulamalar Outlook, Teams, PowerPoint, OneNote, Excel, Word’dü.
En iyi MacBook’lardan birini veya Mac mini M4 veya iMac gibi bir masaüstü Mac kullanıyorsanız, güncellemeleri çıktıkları anda yüklemek istersiniz. Ancak ekstra koruma için en iyi Mac antivirüs yazılımına da yatırım yapmak isteyebilirsiniz.
