Microsoft phát hiện lỗ hổng macOS CVE-2024-44243 cho phép cài đặt Rootkit

Microsoft phát hiện lỗ hổng macOS CVE-2024-44243 cho phép cài đặt Rootkit

Microsoft đã làm sáng tỏ một lỗ hổng bảo mật hiện đã được vá ảnh hưởng đến Apple macOS, nếu khai thác thành công, có thể cho phép kẻ tấn công chạy dưới dạng "root" bỏ qua System Integrity Protection (SIP) của hệ điều hành và cài đặt trình điều khiển hạt nhân độc hại bằng cách tải tiện ích mở rộng hạt nhân của bên thứ ba.

Lỗ hổng đang được đề cập là CVE-2024-44243 (điểm CVSS: 5,5), một lỗi có mức độ nghiêm trọng trung bình đã được Apple giải quyết như một phần của macOS Sequoia 15.2 phát hành vào tháng trước. Nhà sản xuất iPhone mô tả đây là "sự cố cấu hình" có thể cho phép ứng dụng độc hại sửa đổi các phần được bảo vệ của hệ thống tệp.

"Bỏ qua SIP có thể dẫn đến hậu quả nghiêm trọng, chẳng hạn như tăng khả năng kẻ tấn công và tác giả phần mềm độc hại cài đặt thành công rootkit, tạo phần mềm độc hại dai dẳng, bỏ qua Transparency, Consent and Control (TCC) và mở rộng bề mặt tấn công cho các kỹ thuật và khai thác bổ sung", Jonathan Bar Or thuộc nhóm Microsoft Threat Intelligence cho biết.

SIP, còn được gọi là rootless, là một khuôn khổ bảo mật nhằm mục đích ngăn chặn phần mềm độc hại được cài đặt trên máy Mac can thiệp vào các phần được bảo vệ của hệ điều hành, bao gồm /System, /usr, /bin, /sbin, /var và các ứng dụng được cài đặt sẵn trên thiết bị.

Nó hoạt động bằng cách thực thi nhiều biện pháp bảo vệ khác nhau đối với tài khoản người dùng gốc, chỉ cho phép sửa đổi các phần được bảo vệ này bằng các quy trình được Apple ký và có quyền đặc biệt để ghi vào các tệp hệ thống, chẳng hạn như bản cập nhật phần mềm Apple và trình cài đặt Apple.

Hai quyền dành riêng cho SIP được nêu dưới đây -

com.apple.rootless.install, quyền này sẽ gỡ bỏ các hạn chế về hệ thống tệp của SIP cho một quy trình có quyền này

com.apple.rootless.install.heritable, quyền này sẽ gỡ bỏ các hạn chế về hệ thống tệp của SIP cho một quy trình và tất cả các quy trình con của quy trình đó bằng cách kế thừa quyền com.apple.rootless.install

CVE-2024-44243, lỗ hổng SIP mới nhất được Microsoft phát hiện trong macOS sau CVE-2021-30892 (Shrootless) và CVE-2023-32369 (Migraine), khai thác quyền "com.apple.rootless.install.heritable" của daemon Storage Kit (storagekitd) để vượt qua các biện pháp bảo vệ SIP.

Cụ thể, điều này đạt được bằng cách tận dụng "khả năng của storagekitd trong việc gọi các quy trình tùy ý mà không cần xác thực hoặc xóa đặc quyền" để phân phối một gói hệ thống tệp mới tới /Library/Filesystems – một quy trình con của storagekitd – và ghi đè các tệp nhị phân được liên kết với Disk Utility, sau đó có thể được kích hoạt trong một số hoạt động nhất định như sửa chữa đĩa.

"Vì kẻ tấn công có thể chạy dưới dạng root có thể xóa một gói hệ thống tệp mới tới /Library/Filesystems, nên sau đó chúng có thể kích hoạt storagekitd để tạo ra các tệp nhị phân tùy chỉnh, do đó bỏ qua SIP", Bar Or cho biết. "Kích hoạt hoạt động xóa trên hệ thống tệp mới tạo cũng có thể bỏ qua các biện pháp bảo vệ SIP".

Việc tiết lộ này được đưa ra gần ba tháng sau khi Microsoft cũng nêu chi tiết một lỗ hổng bảo mật khác trong khuôn khổ Minh bạch, Đồng ý và Kiểm soát (TCC) của Apple trong macOS (CVE-2024-44133, điểm CVSS: 5,5) – hay còn gọi là HM Surf – có thể bị khai thác để truy cập dữ liệu nhạy cảm.

"Việc cấm mã của bên thứ ba chạy trong kernel có thể làm tăng độ tin cậy của macOS, nhưng đánh đổi là nó làm giảm khả năng giám sát các giải pháp bảo mật", Bar Or cho biết.

"Nếu SIP bị bỏ qua, toàn bộ hệ điều hành không còn được coi là đáng tin cậy nữa và với khả năng giám sát bị giảm, các tác nhân đe dọa có thể can thiệp vào bất kỳ giải pháp bảo mật nào trên thiết bị để tránh bị phát hiện".

Jaron Bradley, giám đốc Threat Labs tại Jamf, cho biết SIP vẫn là mục tiêu thèm muốn của các nhà nghiên cứu lỗi và kẻ tấn công, và nhiều biện pháp bảo mật của Apple hoạt động dựa trên giả định rằng SIP không thể bị bỏ qua. Điều này cũng khiến bất kỳ khai thác SIP thành công nào cũng có ý nghĩa rất lớn.

"Thông thường, kẻ tấn công dựa vào các kỹ thuật kỹ thuật xã hội để lừa người dùng tương tác với một số lời nhắc của hệ điều hành", Bradley nói thêm. "Tuy nhiên, một khai thác SIP có thể cho phép kẻ tấn công bỏ qua các lời nhắc này, ẩn các tệp độc hại trong các khu vực được bảo vệ của hệ thống và có khả năng truy cập sâu hơn. Với việc triển khai SIP ở mức thấp, cách duy nhất để người dùng tự bảo vệ mình khỏi các cuộc tấn công như vậy là cập nhật hệ điều hành của họ ngay lập tức bất cứ khi nào Apple phát hành bản sửa lỗi bảo mật".

Hương – Theo TheHackerNews