Microsoft heeft een onlangs gepatcht beveiligingsprobleem in Apple’s macOS onthuld, geïdentificeerd als CVE-2024-44243waardoor een aanvaller met rootrechten de System Integrity Protection (SIP) van het besturingssysteem en installeer kwaadaardige kernelstuurprogramma’s via kernelextensies van derden.
Microsoft onthult macOS-kwetsbaarheid waardoor SIP-bypass mogelijk is
Deze kwetsbaarheid, beoordeeld met een CVSS-score van 5,5 en geclassificeerd als gemiddeld ernstig, werd door Apple verholpen in macOS Sequoia 15.2, dat vorige maand werd uitgebracht. Apple categoriseerde het probleem als een “configuratieprobleem” waardoor een kwaadaardige app beschermde delen van het bestandssysteem zou kunnen wijzigen.
Volgens Jonathan Bar Or van het Microsoft Threat Intelligence-team“Het omzeilen van SIP zou tot ernstige gevolgen kunnen leiden, zoals het vergroten van de mogelijkheden voor aanvallers en malware-auteurs om met succes rootkits te installeren, persistente malware te creëren, Transparency, Consent and Control (TCC) te omzeilen en het aanvalsoppervlak uit te breiden voor aanvullende technieken en exploits. ”
SIP, ook wel rootless genoemd, dient als een beveiligingsframework om te voorkomen dat schadelijke software met essentiële componenten van macOS knoeit, inclusief mappen als /System, /usr, /bin, /sbin, /var en vooraf geïnstalleerde applicaties. SIP dwingt strikte rechten af op het root-account, waardoor wijzigingen in deze gebieden alleen mogelijk zijn door processen die zijn ondertekend door Apple, inclusief Apple-software-updates.
Twee belangrijke rechten die verband houden met SIP zijn: com.apple.rootless.install, waarmee een proces de bestandssysteembeperkingen van SIP kan omzeilen, en com.apple.rootless.install.heritable, dat dezelfde mogelijkheid uitbreidt naar alle onderliggende processen van de oorspronkelijke versie. proces.
De exploitatie van CVE-2024-44243 maakt gebruik van het recht “com.apple.rootless.install.heritable” in de mogelijkheden van de Storage Kit daemon (storagekitd) om SIP te omzeilen. Aanvallers kunnen gebruikmaken van de mogelijkheid van storagekitd om willekeurige processen aan te roepen zonder adequate controles om een nieuwe bestandssysteembundel in /Library/Filesystems te introduceren, wat leidt tot de wijziging van binaire bestanden die zijn gekoppeld aan het Schijfhulpprogramma. Dit kan worden geactiveerd tijdens bewerkingen zoals schijfreparatie.
Bar Or legde uit: “Aangezien een aanvaller die als root kan werken een nieuwe bestandssysteembundel naar /Library/Filesystems kan droppen, kunnen ze later storagekitd activeren om aangepaste binaire bestanden te spawnen, waardoor SIP wordt omzeild. Het activeren van de wisbewerking op het nieuw aangemaakte bestandssysteem kan ook SIP-beveiligingen omzeilen.”
Deze onthulling volgt op een eerder Microsoft-rapport waarin een andere kwetsbaarheid in het TCC-framework van macOS werd beschreven, gevolgd als CVE-2024-44133wat ook de veiligheid van gebruikersgegevens in gevaar brengt. Bar Or merkte op dat hoewel SIP de betrouwbaarheid van macOS verbetert, het tegelijkertijd de toezichtmogelijkheden van beveiligingsoplossingen beperkt.
Jaron Bradley, directeur van Threat Labs bij Jamf, benadrukte het belang van SIP en stelde dat het een belangrijk doelwit is voor zowel onderzoekers als aanvallers, waarbij veel van Apple’s beveiligingsprotocollen erop zijn gebaseerd dat SIP onkwetsbaar is. “Een exploit van SIP zou een aanvaller in staat kunnen stellen deze aanwijzingen te omzeilen, kwaadaardige bestanden in beschermde delen van het systeem te verbergen en mogelijk diepere toegang te verkrijgen”, voegde hij eraan toe.
Cybersecurity-professionals worden dringend verzocht macOS-systemen up-to-date te houden, aangezien de nieuwste patch deze kritieke kwetsbaarheid aanpakt, die werd opgelost in de Apple-beveiligingsupdate van 11 december. Zonder SIP zouden aanvallers rootkits of persistente malware ongemerkt kunnen inzetten, zelfs zonder fysieke toegang tot de machines.
Experts raden beveiligingsteams aan om processen met speciale rechten nauwlettend in de gaten te houden, waardoor SIP mogelijk wordt omzeild. Mayuresh Dani, manager beveiligingsonderzoek bij Qualys, suggereerde dat “teams proactief processen met speciale rechten moeten monitoren, omdat deze kunnen worden uitgebuit om SIP te omzeilen.”
Bovendien moeten ongebruikelijke schijfbeheeractiviteiten en atypisch geprivilegieerd gebruikersgedrag in de gaten worden gehouden om de beveiliging tegen dit soort aanvallen te vergroten. Zoals kwetsbaarheden zoals CVE-2024-44243 illustreren, moeten organisaties kernelextensies van derden voorzichtig beheren en deze alleen inschakelen wanneer dit absoluut noodzakelijk is, in combinatie met strenge monitoringprotocollen.
De door Microsoft ontdekte fout toont niet alleen een continuïteit in beveiligingsproblemen aan, maar benadrukt ook de kwetsbaarheden die aanwezig zijn in macOS, zoals de recente detectie van de “Bansheeinfostealer-malware, die naar verluidt de antivirusmaatregelen van Apple omzeilde vanwege een gestolen versleutelingsalgoritme.
Uit de analyse van Microsoft blijkt dat deze specifieke fout voortkomt uit de rol van de Storage Kit-daemon bij het toezicht op schijfbewerkingen, waardoor mogelijk misbruik mogelijk wordt gemaakt door aangepaste code in te sluiten in bestandssystemen van derden, waaronder Tuxera, Paragon, EaseUS en iBoysoft.
Uitgelichte afbeeldingscredits: Szabo Viktor/Unsplash
