Microsoft hat eine kürzlich behobene Sicherheitslücke in Apples macOS bekannt gegeben, die als identifiziert wurde CVE-2024-44243was es einem Angreifer mit Root-Rechten ermöglichen könnte, den Systemintegritätsschutz zu umgehen (SCHLUCK) des Betriebssystems und installieren bösartige Kernel-Treiber über Kernel-Erweiterungen von Drittanbietern.
Microsoft enthüllt eine Sicherheitslücke in macOS, die eine SIP-Umgehung ermöglicht
Diese Sicherheitslücke, die mit einem CVSS-Score von 5,5 bewertet und als mittlerer Schweregrad eingestuft wurde, wurde von Apple in macOS Sequoia 15.2 behoben, das letzten Monat veröffentlicht wurde. Apple stufte das Problem als „Konfigurationsproblem“ ein, das es einer bösartigen App ermöglichen könnte, geschützte Bereiche des Dateisystems zu verändern.
Laut Jonathan Bar Or vom Microsoft Threat Intelligence-Team„Die Umgehung von SIP könnte schwerwiegende Folgen haben, z. B. die Möglichkeit für Angreifer und Malware-Autoren, Rootkits erfolgreich zu installieren, persistente Malware zu erstellen, Transparency, Consent and Control (TCC) zu umgehen und die Angriffsfläche für zusätzliche Techniken und Exploits zu erweitern.“ ”
SIP, auch Rootless genannt, dient als Sicherheitsrahmen, um zu verhindern, dass Schadsoftware wesentliche Komponenten von macOS manipuliert, darunter Verzeichnisse wie /System, /usr, /bin, /sbin, /var und vorinstallierte Anwendungen. SIP erzwingt strenge Berechtigungen für das Root-Konto und erlaubt Änderungen an diesen Bereichen nur durch von Apple signierte Prozesse, einschließlich Apple-Software-Updates.
Zwei wichtige Berechtigungen im Zusammenhang mit SIP sind: com.apple.rootless.install, die es einem Prozess ermöglicht, die Dateisystemeinschränkungen von SIP zu umgehen, und com.apple.rootless.install.heritable, das die gleiche Fähigkeit auf alle untergeordneten Prozesse des ursprünglichen Prozesses ausdehnt Verfahren.
Die Ausnutzung von CVE-2024-44243 nutzt die Berechtigung „com.apple.rootless.install.heritable“ in den Funktionen des Storage Kit-Daemons (storagekitd), um SIP zu umgehen. Angreifer können die Fähigkeit von storagekitd ausnutzen, beliebige Prozesse ohne angemessene Prüfungen aufzurufen, um ein neues Dateisystempaket in /Library/Filesystems einzuführen, was zu einer Änderung der mit dem Festplatten-Dienstprogramm verknüpften Binärdateien führt. Dies kann bei Vorgängen wie der Festplattenreparatur aktiviert werden.
Bar Or erklärte weiter: „Da ein Angreifer, der als Root ausgeführt werden kann, ein neues Dateisystem-Bundle in /Library/Filesystems ablegen kann, kann er später storagekitd auslösen, um benutzerdefinierte Binärdateien zu erzeugen und so SIP zu umgehen.“ Durch das Auslösen des Löschvorgangs im neu erstellten Dateisystem können auch SIP-Schutzmaßnahmen umgangen werden.“
Diese Enthüllung folgt auf einen früheren Bericht von Microsoft, in dem eine weitere Schwachstelle im TCC-Framework von macOS detailliert beschrieben wurde, die als verfolgt wird CVE-2024-44133was auch die Sicherheit der Benutzerdaten gefährdet. Bar Or stellte fest, dass SIP zwar die Zuverlässigkeit von macOS erhöht, gleichzeitig aber die Überwachungsmöglichkeiten von Sicherheitslösungen einschränkt.
Jaron Bradley, Leiter der Threat Labs bei Jamf, betonte die Bedeutung von SIP und erklärte, es sei ein Hauptziel sowohl für Forscher als auch für Angreifer, da viele der Sicherheitsprotokolle von Apple, die auf SIP basieren, unverwundbar seien. „Ein Exploit von SIP könnte es einem Angreifer ermöglichen, diese Eingabeaufforderungen zu umgehen, schädliche Dateien in geschützten Bereichen des Systems zu verstecken und möglicherweise tieferen Zugriff zu erlangen“, fügte er hinzu.
Cybersicherheitsexperten werden dringend gebeten, macOS-Systeme auf dem neuesten Stand zu halten, da der neueste Patch diese kritische Schwachstelle behebt, die im Apple-Sicherheitsupdate vom 11. Dezember behoben wurde. Ohne SIP könnten Angreifer Rootkits oder persistente Malware unentdeckt verbreiten, selbst ohne physischen Zugriff auf die Maschinen.
Experten empfehlen Sicherheitsteams, Prozesse mit besonderen Berechtigungen, die SIP umgehen könnten, aufmerksam zu überwachen. Mayuresh Dani, Manager für Sicherheitsforschung bei Qualys, schlug vor, dass „Teams Prozesse mit besonderen Berechtigungen proaktiv überwachen sollten, da diese zur Umgehung von SIP ausgenutzt werden können.“
Darüber hinaus sollten ungewöhnliche Festplattenverwaltungsaktivitäten und atypische privilegierte Benutzerverhalten überwacht werden, um die Sicherheit gegen diese Art von Angriffen zu erhöhen. Wie Schwachstellen wie CVE-2024-44243 zeigen, sollten Unternehmen Kernel-Erweiterungen von Drittanbietern vorsichtig verwalten und sie nur dann aktivieren, wenn dies unbedingt erforderlich ist, gepaart mit strengen Überwachungsprotokollen.
Der von Microsoft entdeckte Fehler zeigt nicht nur eine Kontinuität der Sicherheitsprobleme, sondern verdeutlicht auch die in macOS vorhandenen Schwachstellen, wie zum Beispiel die kürzliche Entdeckung des „Banshee„Infostealer-Malware, die Berichten zufolge aufgrund eines gestohlenen Verschlüsselungsalgorithmus die Antivirenmaßnahmen von Apple umgangen hat.
Die Analyse von Microsoft weist darauf hin, dass dieser spezifische Fehler auf die Rolle des Storage Kit-Daemons bei der Überwachung von Festplattenvorgängen zurückzuführen ist und eine mögliche Ausnutzung durch die Einbettung von benutzerdefiniertem Code in Dateisysteme von Drittanbietern ermöglicht, darunter Tuxera, Paragon, EaseUS und iBoysoft.
Hervorgehobener Bildnachweis: Szabo Viktor/Unsplash
