Все о Цифровых системах - новости, статьи, обзоры, аналитика. Более 1000 компаний, товаров и услуг в каталоге.
Добавить компанию

Microsoft раскрыла уязвимость macOS, позволявшую обойти защиту целостности системы

Рубрики: «Информационная безопасность», «Кибербезопасность», «Операционные системы»

Microsoft раскрыла уязвимость macOS, позволявшую обойти защиту целостности системы

System Integrity Protection или SIP (защита целостности системы) — это функция безопасности macOS, которая предназначена для предотвращения несанкционированных изменений системных файлов и процессов, даже пользователями с правами «root». SIP помогает поддерживать целостность и надежность операционной системы, ограничивая доступ к критически важным системным компонентам и, таким образом, снижая риск заражения вредоносным ПО и сводя к минимуму вероятность возникновения других эксплойтов.

В данном случае уязвимость пол названием CVE-2024-4424 была внесена в macOS в обновлении от 11 декабря и была связана с использованием программного демона «storagekitd» - привилегированного процесса, используемого для управления дисками. Злоумышленники с правами root могли использовать особые права процесса для загрузки несанкционированных расширений ядра, обходя защиту SIP и делая возможной установку постоянного вредоносного ПО или руткитов, которые обходят обнаружение традиционными средствами безопасности. Руткит (или rootkit) также представляет собой вредоносную программу, цель которой предоставить несанкционированный доступ к другому программному обеспечению или целой операционной системе.

Исследование Microsoft показало, что способность storagekitd вызывать дочерние процессы без надлежащей проверки является критической уязвимостью. Используя сторонние реализации файловых систем, злоумышленники могут обойти ограничения расширения ядра, чтобы вызвать уязвимости с помощью, казалось бы, легитимных операций, что значительно расширяет поверхность атаки.

Обнаружение уязвимости было также сопряжено с определенными трудностями, связанными с ограниченной доступностью ядра macOS для решений по обеспечению безопасности. Microsoft преодолела эту проблему, применив методы упреждающего мониторинга, включая отслеживание аномальных дочерних процессов таких демонов, как storagekitd. Использованные методы позволили исследователям идентифицировать CVE-2024-44243 и смягчить потенциальные угрозы до того, как злоумышленники смогли бы использовать их в более широких масштабах.

Хотя уязвимость в настоящее время устранена (Microsoft объявила об этом публично только в понедельник, убедившись, что инженеры по безопасности Apple ее устранили), она показывает, что давнее внимание Apple к безопасности начинает ослабевать.

«Отделы безопасности должны обеспечить установку на системы macOS последних обновлений, внимательно следить за необычным управлением дисками или поведением привилегированных процессов, а также внедрять инструменты обнаружения конечных точек, которые отслеживают неподписанные расширения ядра», — сказал Джейсон Сороко, старший научный сотрудник компании Sectigo, занимающейся управлением жизненным циклом сертификатов. «Регулярные проверки целостности, политики принципа наименьших привилегий и строгое соблюдение рекомендаций Apple по безопасности еще больше снижают риск этой критической угрозы».

Источник: