В Microsoft рассказали, что недавно компания Apple устранила уязвимость в macOS, позволявшую обойти System Integrity Protection (SIP) и устанавливать вредоносные драйверы ядра путем загрузки сторонних расширений.
Механизм System Integrity Protection (SIP), также известный как «rootless», представляет собой защитную функциональность macOS и является своего рода аналогом песочницы. Механизм не позволяет потенциально вредоносному ПО изменять определенные папки и файлы, злоупотребляя для этого пользователем root и его возможностями для работы с защищенными областями ОС.
SIP позволяет изменять защищенные компоненты macOS только процессам, подписанным Apple, или процессам, обладающим специальными правами, например, обновлениям и установщикам ПО. Также важно, что отключить SIP без перезагрузки системы и запуска macOS Recovery невозможно, а для этого нужно иметь физический доступ к уже взломанному устройству.
Новая уязвимость SIP (CVE-2024-44243) могла использоваться только локальными злоумышленниками с привилегиями root в атаках, требующих взаимодействия с пользователем. Проблема была обнаружена специалистами Microsoft в демоне Storage Kit, который отвечает за сохранение состояния диска.
Успешная эксплуатация этого бага позволяла обойти ограничения и добиться установки руткитов (драйверов ядра) без физического доступа или обхода Transparency, Consent, and Control (TCC) для доступа к данным жертв.
Apple устранила уязвимость в обновлении для macOS Sequoia 15.2, выпущенном 11 декабря 2024 года.
«System Integrity Protection (SIP) служит критически важным средством защиты от вредоносного ПО, злоумышленников и других угроз кибербезопасности, создавая фундаментальный уровень защиты для систем на базе macOS, — пишут специалисты Microsoft в своем отчете о CVE-2024-44243. — Обход SIP влияет на безопасность всей ОС и может привести к серьезным последствиям, подчеркивая необходимость комплексных защитных решений, способных обнаруживать аномальное поведение процессов со специальными правами».
