Microsoft, Apple macOS’u etkileyen, başarılı bir şekilde kullanılması halinde “root” olarak çalışan bir saldırganın işletim sisteminin Sistem Bütünlüğü Korumasını atlamasına olanak tanıyabilecek, artık yamalanmış bir güvenlik kusuruna ışık tuttu (YUDUM) ve üçüncü taraf çekirdek uzantılarını yükleyerek kötü amaçlı çekirdek sürücülerini yükleyin.
Söz konusu güvenlik açığı CVE-2024-44243 (CVSS puanı: 5,5), Apple tarafından şu kapsamda giderilen orta önemde bir hata: macOS Sekoya 15.2 geçen ay yayınlandı. iPhone üreticisi bunu, kötü amaçlı bir uygulamanın dosya sisteminin korunan kısımlarını değiştirmesine izin verebilecek bir “yapılandırma sorunu” olarak tanımladı.
“SIP’yi atlamak, saldırganların ve kötü amaçlı yazılım yazarlarının rootkit’leri başarıyla yükleme, kalıcı kötü amaçlı yazılım oluşturma, Şeffaflık, Rıza ve Kontrol’ü (TCC) atlama ve ek teknikler ve istismarlar için saldırı yüzeyini genişletme potansiyelini artırmak gibi ciddi sonuçlara yol açabilir.” Jonathan Bar Veya Microsoft Tehdit İstihbaratı ekibinden söz konusu.
Köksüz olarak da adlandırılan SIP, güvenlik çerçevesi Bu, Mac’e yüklenen kötü amaçlı yazılımların /System, /usr, /bin, /sbin, /var ve cihaza önceden yüklenmiş olarak gelen uygulamalar dahil olmak üzere işletim sisteminin korunan bölümlerine müdahale etmesini önlemeyi amaçlamaktadır.
Kök kullanıcı hesabına karşı çeşitli korumalar uygulayarak çalışır; bu korunan parçaların yalnızca Apple tarafından imzalanan ve Apple yazılım güncellemeleri ve Apple yükleyicileri gibi sistem dosyalarına yazma konusunda özel yetkilere sahip işlemler tarafından değiştirilmesine izin verir.
SIP’ye özel iki yetki aşağıdadır:
- com.apple.rootless.install, bu yetkiye sahip bir işlem için SIP’nin dosya sistemi kısıtlamalarını kaldırır
- com.apple.rootless.install.heritable, com.apple.rootless.install yetkisini devralarak bir işlem ve onun tüm alt işlemleri için SIP’nin dosya sistemi kısıtlamalarını kaldırır.
Microsoft tarafından macOS’ta CVE-2021-30892 (Shrootless) ve CVE-2023-32369’dan (Migraine) sonra keşfedilen en son SIP bypass’ı olan CVE-2024-44243, Storage Kit arka plan programının (storagekitd) “com.apple.rootless.install” özelliğini kullanır SIP korumalarını aşmak için .kalıtsal” yetki.
Spesifik olarak, bu, /Library/Filesystems’e (storagekitd’in bir alt işlemi) yeni bir dosya sistemi paketi sunmak ve Disk ile ilişkili ikili dosyaları geçersiz kılmak için “storagekitd’in uygun doğrulama olmadan veya ayrıcalıkları bırakmadan rastgele işlemleri başlatma yeteneğinden” yararlanılarak gerçekleştirilir. Daha sonra disk onarımı gibi belirli işlemler sırasında tetiklenebilecek yardımcı program.
Bar Or, “Root olarak çalışabilen bir saldırgan, /Library/Filesystems’e yeni bir dosya sistemi paketi bırakabileceğinden, daha sonra özel ikili dosyalar oluşturmak için Storagekitd’yi tetikleyebilir, dolayısıyla SIP’yi atlayabilir” dedi. “Yeni oluşturulan dosya sisteminde silme işleminin tetiklenmesi SIP korumalarını da atlayabilir.”
Açıklama, Microsoft’un ayrıca Apple’ın macOS’taki Şeffaflık, Rıza ve Kontrol (TCC) çerçevesindeki başka bir güvenlik kusurunu (CVE-2024-44133, CVSS puanı: 5,5) (diğer adıyla HM Surf) ayrıntılarıyla açıklamasından yaklaşık üç ay sonra geldi; hassas veriler.
Bar Or, “Çekirdekte üçüncü taraf kodların çalıştırılmasını yasaklamak, macOS güvenilirliğini artırabilir; bunun karşılığında güvenlik çözümlerinin izleme yeteneklerini azaltır” dedi.
“SIP atlanırsa, işletim sisteminin tamamı artık güvenilir olarak kabul edilemez ve izleme görünürlüğü azaldıkça, tehdit aktörleri tespitten kaçınmak için cihazdaki herhangi bir güvenlik çözümüne müdahale edebilir.”
