Η Apple αντιμετώπισε πρόσφατα ένα σφάλμα στο macOS που επιτρέπει στους εισβολείς να παρακάμψουν την Προστασία Ακεραιότητας Συστήματος (SIP) και να εγκαταστήσουν κακόβουλα kernel drivers, φορτώνοντας επεκτάσεις πυρήνα τρίτων.
Δείτε επίσης: Η Apple προωθεί σημαντικές ενημερώσεις ασφαλείας για iOS και macOS

Η Προστασία Ακεραιότητας Συστήματος (SIP) ή «rootless», είναι μια δυνατότητα ασφαλείας του macOS που εμποδίζει το κακόβουλο λογισμικό να αλλάξει συγκεκριμένους φακέλους και αρχεία, περιορίζοντας τις εξουσίες του λογαριασμού χρήστη root σε προστατευμένες περιοχές.
Το SIP επιτρέπει μόνο σε διαδικασίες υπογεγραμμένες από την Apple ή σε εκείνες με ειδικά δικαιώματα, όπως ενημερώσεις λογισμικού Apple, να τροποποιούν στοιχεία που προστατεύονται από το macOS. Η απενεργοποίηση του SIP απαιτεί συνήθως επανεκκίνηση του συστήματος και εκκίνηση από το macOS Recovery (το ενσωματωμένο σύστημα ανάκτησης), το οποίο απαιτεί φυσική πρόσβαση σε μια παραβιασμένη συσκευή μηχανής.
Το σφάλμα macOS (που παρακολουθείται ως CVE-2024-44243), το οποίο μπορεί να εκμεταλλευτούν μόνο τοπικοί εισβολείς με δικαιώματα root σε επιθέσεις χαμηλής πολυπλοκότητας που απαιτούν αλληλεπίδραση με τον χρήστη, εντοπίστηκε στο Storage Kit daemon, που χειρίζεται τη διατήρηση κατάστασης δίσκου.
Η επιτυχής εκμετάλλευση θα μπορούσε να επιτρέψει στους εισβολείς να παρακάμψουν τους ριζικούς περιορισμούς SIP χωρίς φυσική πρόσβαση για να εγκαταστήσουν rootkits, να δημιουργήσουν μόνιμο, “μη διαγράψιμο” κακόβουλο λογισμικό ή να παρακάμψουν τους ελέγχους ασφαλείας διαφάνειας, συναίνεσης και ελέγχου (TCC) για πρόσβαση στα δεδομένα των θυμάτων.
Δείτε ακόμα: Ο πηγαίος κώδικας του macOS Malware Banshee Stealer διέρρευσε
Η Apple επιδιορθώνει το σφάλμα στις ενημερώσεις ασφαλείας για το macOS Sequoia 15.2, που κυκλοφόρησε πριν από έναν μήνα, στις 11 Δεκεμβρίου 2024.

Οι ερευνητές ασφαλείας της Microsoft έχουν ανακαλύψει πολλά σφάλματα στο macOS τα τελευταία χρόνια. Μια παράκαμψη SIP με την ονομασία «Shrootless» (CVE-2021-30892), που αναφέρθηκε το 2021, επιτρέπει επίσης στους εισβολείς να εκτελούν αυθαίρετες λειτουργίες σε παραβιασμένους Mac και ενδεχομένως να εγκαταστήσουν rootkits.
Πιο πρόσφατα, βρήκαν επίσης μια άλλη παράκαμψη SIP με την ονομασία «Migraine» (CVE-2023-32369) και ένα ελάττωμα ασφαλείας γνωστό ως Achilles (CVE-2022-42821), το οποίο μπορεί να αξιοποιηθεί για την ανάπτυξη κακόβουλου λογισμικού μέσω μη αξιόπιστων εφαρμογών ικανών να παρακάμψουν την εκτέλεση περιορισμών Gatekeeper.
Ο κύριος ερευνητής ασφάλειας της Microsoft, Jonathan Bar Or, ανακάλυψε επίσης το «powerdir» (CVE-2021-30970), ένα άλλο σφάλμα στο macOS που επιτρέπει στους εισβολείς να παρακάμπτουν την τεχνολογία Transparency, Consent and Control (TCC) για πρόσβαση στα προστατευμένα δεδομένα των χρηστών macOS.
Δείτε επίσης: Βορειοκορεάτες χάκερ στοχεύουν συστήματα macOS με εφαρμογές Flutter
Τα κακόβουλα προγράμματα kernel drivers αποτελούν σημαντική απειλή για την ασφάλεια του συστήματος, καθώς λειτουργούν στο υψηλότερο επίπεδο προνομίων σε ένα λειτουργικό σύστημα. Αυτά τα προγράμματα drivers μπορούν να χρησιμοποιηθούν από εισβολείς για να αποφύγουν τον εντοπισμό, να απενεργοποιήσουν τα μέτρα ασφαλείας ή να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στους πόρους του συστήματος. Μόλις εγκατασταθούν, μπορούν να χειριστούν τις βασικές λειτουργίες του συστήματος, καθιστώντας δύσκολο τον εντοπισμό και την αφαίρεσή τους. Η προστασία από τέτοιες απειλές απαιτεί ισχυρές πρακτικές ασφαλείας, συμπεριλαμβανομένης της αυστηρής επικύρωσης των υπογραφών των προγραμμάτων οδήγησης και των τακτικών ενημερώσεων στις πολιτικές ασφαλείας του λειτουργικού συστήματος. Η αναγνώριση του κινδύνου αυτών των προγραμμάτων οδήγησης είναι κρίσιμη για τη διατήρηση της ακεραιότητας του συστήματος και τη διαφύλαξη των ευαίσθητων πληροφοριών.
Πηγή: bleepingcomputer