Microsoft: vulnerabilitatea macOS permite instalarea driverelor de kernel malițioase
Sursă: https://www.bleepingcomputer.com
Apple a remediat recent o vulnerabilitate macOS care permite atacatorilor să ocolească System Integrity Protection (SIP) și să instaleze drivere de kernel rău intenționate prin încărcarea extensiilor de kernel de la terți.
System Integrity Protection (SIP) sau rootless este o caracteristică de securitate a macOS care împiedică programele rău intenționate să modifice anumite foldere și fișiere prin limitarea drepturilor contului de utilizator root în zonele protejate.
SIP permite numai proceselor semnate de Apple sau celor cu drepturi speciale, cum ar fi actualizările software Apple, să modifice componente protejate de macOS.
Dezactivarea SIP necesită, în mod normal, o repornire a sistemului și pornirea din macOS Recovery (sistemul de recuperare încorporat), ceea ce necesită acces fizic la un dispozitiv compromis.
Vulnerabilitatea, CVE-2024-44243, poate fi exploatată numai de persoane rău intenționate locale cu privilegii de root în atacuri de complexitate redusă ce necesită interacțiunea utilizatorului.
Exploatarea cu succes ar putea permite atacatorilor să ocolească restricțiile SIP root fără acces fizic pentru a instala rootkit-uri (drivere de kernel), să creeze programe malware persistente sau să ocolească verificările de securitate Transparency, Consent, and Control (TCC) pentru a accesa datele utilizatorilor.
Apple a remediat vulnerabilitatea în actualizările de securitate pentru macOS Sequoia 15.2, lansate în urmă cu o lună, pe 11 decembrie 2024.
Specialiștii în domeniul securității din cadrul Microsoft au identificat multiple vulnerabilități ale macOS în ultimii ani. O măsură de ocolire SIP denumită Shrootless (CVE-2021-30892), raportată în 2021, permite, de asemenea, atacatorilor să efectueze operațiuni arbitrare pe Mac-urile compromise și să instaleze potențial rootkit-uri.
Mai recent, aceștia au constatat, de asemenea, un alt by-pass SIP denumit Migraine (CVE-2023-32369) și o vulnerabilitate de securitate cunoscă drept Achilles (CVE-2022-42821), ce poate fi exploatată pentru a implementa programe malware prin intermediul aplicațiilor care nu sunt de încredere, capabile să ocolească restricțiile de execuție Gatekeeper.
De asemenea, o altă vulnerabilitate powerdir (CVE-2021-30970) în macOS a fost detectată, permițând atacatorilor să ocolească Transparency, Consent, and Control (TCC) pentru a accesa datele protejate ale utilizatorilor macOS.
Sursă: https://www.bleepingcomputer.com/news/security/microsoft-macos-bug-lets-hackers-install-malicious-kernel-drivers/
