Поделиться
Microsoft нашла в ОС для макбуков зияющую дыру: Вредоносные драйверы можно встраивать прямо в ядро
В macOS выявлена и устранена уязвимость, которая позволяла устанавливать руткиты в обход всех защитных инструментов, – правда, при соблюдении множества условий.
Дерутизация
Эксперты по кибербезопасности Microsoft выявили уязвимость в Apple macOS, которая позволяла устанавливать в систему небезопасные драйверы ядра.
Речь идет о System Integrity Protection, механизме, который ограничивает возможности для вредоносного ПО менять системные настройки. Благодаря ей даже пользователь с правами root (административными) не сможет менять содержимое определенных системных файлов и каталогов: полномочия на это есть только у определенных процессов, снабженных сертификатами Apple, такими как системные обновления.
Отключение SIP возможно, но для этого по умолчанию потребуется загрузить систему с использованием macOS Recovery, а это возможно только при наличии физического доступа к системе.
Однако в функции Storage Kit, которая отвечает за сохранение состояния накопителей, обнаружилась уязвимость (CVE-2024-44243), которая позволяет обходить ограничения SIP, накладываемые на пользователей. Благодаря ей потенциальные злоумышленники могут устанавливать руткиты (драйверы ядра) без физического доступа к системе. Кроме того, появляется возможность устанавливать «неудаляемые» вредоносы и обходить систему Transparency, Consent, and Control (TCC), защищающую пользовательские данные.
Для осуществления первоначального этапа атаки, однако, потребуется локальный доступ и права root. В остальном провести ее достаточно легко.
Нет SIP – нет ничего
В Microsoft подчеркнули, что обход SIP – это обход практически всей безопасности macOS. Уязвимости в этой системе находили неоднократно: например, «баг» Shrootless, выявленный в 2021 г., позволял осуществлять произвольные операции в скомпрометированных системах и устанавливать руткиты.
В 2022-23 гг. были выявлены две другие уязвимости – Achilles (CVE-2022-42821) и Migraine (CVE-2023-32369), которые также открывали возможности для установки вредоносного ПО в обход всякой защиты, включая Gatekeeper.
«Операционная система macOS оснащена весьма неглупыми и действенными механизмами защиты от кибератак, но неуязвимой ее назвать нельзя, – отмечает Никита Павлов, эксперт по информационной безопасности компании SEQ. – Время от времени в ней находятся уязвимости в диапазоне от проходных до критических, и, к счастью, в большинстве случаев их успевают обнаружить до того, как злоумышленники успевают ими воспользоваться. Это, впрочем, не означает, что пользователям стоит игнорировать обновления».
Apple устранила уязвимость в macOS Sequoia обновлением 15.2, выпущенном 11 декабря 2024 г.
Поделиться
Короткая ссылка
