مایکروسافت آسیب‌ پذیری CVE-2024-44243 را در macOS شناسایی کرد!

مایکروسافت اخیراً یک آسیب ‌پذیری قابل ‌توجه را در macOS شناسایی کرده است. این آسیب پذیری که با شناسه CVE-2024-44243 دنبال می‌شود، به مهاجمان اجازه می‌دهد تا ویژگی حفاظت از یکپارچگی سیستم اپل ([1]SIP) را دور زده و درایورهای کرنل مخرب را نصب کنند. این آسیب ‌پذیری ( امتیاز  CVSS 5.5) در یازدهم دسامبر ۲۰۲۴  معرفی و توسط اپل در macOS Sequoia 15.2 پچ شده است.

اپل این آسیب پذیری را به عنوان یک “مشکل پیکربندی” توصیف کرده است که می‌تواند به یک برنامه مخرب اجازه دهد تا قسمت‌های محافظت شده سیستم فایل را تغییر دهد.

دور زدن SIP در macOS می‌تواند عواقب بسیار جدی و گسترده‌ای به دنبال داشته باشد. SIP یکی از لایه‌های اصلی امنیتی در سیستم‌عامل macOS است که با محدود کردن دسترسی به فایل‌ها و مسیرهای سیستمی، از ایجاد تغییرات غیرمجاز توسط کاربران یا برنامه‌های مخرب جلوگیری می‌کند. چنانچه مهاجم بتواند این مکانیزم را دور بزند، آنگاه خواهد توانست کنترل کامل بر سیستم را به‌ دست می‌آورد.

عواقب دور زدن SIP

در زیر به برخی از عواقب مهم دور زدن SIP پرداخته شده است:

• مهاجم با دور زدن SIPمی‌تواند نرم‌افزارهای مخربی مانند روت‌کیت‌ها، تروجان‌ها و جاسوس افزارها را در سیستم نصب کند.
• بدافزارها می‌توانند به صورت عمیق در سطح کرنل (هسته سیستم‌عامل) اجرا شوند و توسط ابزارهای امنیتی یا آنتی‌ویروس شناسایی نشوند.
• مهاجم می‌تواند به اطلاعات حساس ذخیره ‌شده در دستگاه مانند رمزهای عبور، اطلاعات بانکی، کلیدهای رمزگذاری و داده‌های خصوصی کاربر دسترسی پیدا کند.
• فایل‌های سیستمی که معمولاً غیرقابل ‌دسترس هستند، می‌توانند به راحتی مشاهده، تغییر یا حذف شوند.
• مهاجم می‌تواند یک بکدور در سیستم ایجاد کند که به او اجازه دهد در آینده بدون نیاز به مجوز دوباره به سیستم دسترسی داشته باشد. این بکدور ممکن است حتی پس از بازنشانی سیستم‌عامل همچنان باقی بماند.
• سیستم به دلیل آسیب ‌پذیری در برابر حملات بیشتر، غیرقابل اعتماد می‌شود.
• دور زدن SIP به مهاجم امکان می‌دهد که به تمامی بخش‌های سیستم‌عامل دسترسی داشته باشد و تغییرات دلخواه را ایجاد کند.
• این امر باعث از بین رفتن اعتماد به سیستم می‌شود و ممکن است نیاز به نصب مجدد کامل سیستم‌عامل باشد.

SIP که rootless نیز نامیده می‌شود، یک فریمورک امنیتی است که هدف آن محدود کردن دسترسی کاربران و حتی اکانت‌ root به فایل‌ها و مسیرهای خاص سیستم است که به موجب آن امنیت دستگاه به طور قابل توجهی افزایش می‌یابد.

SIP با اعمال حفاظت‌های مختلف از حساب کاربری root کار می‌کند و اجازه می‌دهد تا این بخش‌های محافظت ‌شده را فقط با فرآیندهایی که توسط اپل امضا شده‌اند و دارای حقوق ویژه برای نوشتن در فایل‌های سیستمی هستند، مانند به‌روزرسانی‌های نرم‌افزار و نصب‌کننده‌های اپل، اصلاح و تغییر داده شوند.

دو حق ویژه SIP در زیر آمده است :

• apple.rootless.install ؛ یکی از کامپوننت‌های داخلی سیستم‌عامل macOS است که به SIP مربوط می‌گردد. این سرویس اطمینان حاصل می‌کند که فایل‌ها و پوشه‌های حیاتی سیستم مانند /System، /bin، /usr و /sbin توسط هیچ کاربر یا برنامه‌ای تغییر نمی‌کنند، مگر اینکه تغییرات توسط اپل مجاز شده باشند.
• apple.rootless.install.heritable؛ این سرویس به طور خاص به مواردی مرتبط است که هنگام نصب یا به‌روزرسانی سیستم یا برنامه‌ها در macOS به حفاظت از فایل‌ها و مسیرهای حساس می‌پردازد. این سرویس بخش مهمی از مکانیزم SIP است که اطمینان می‌دهد حتی در هنگام نصب یا به‌روزرسانی، هیچ فایل حساس و یا کرنل سیستم تحت تأثیر قرار نمی‌گیرند.

ماهیت آسیب پذیری CVE-2024-44243

آسیب پذیری CVE-2024-44243 از یک مشکل پیکربندی در Storage Kit deemon  (یا storagekitd) ناشی می‌شود که وظیفه مدیریت دیسک را بر عهده دارد. مهاجمان با سطح دسترسی root می‌توانند از این آسیب ‌پذیری برای بارگذاری افزونه‌های غیرمجاز کرنل (ارائه شده توسط سایرین) سوء استفاده کنند و به طور موثر حافظت‌های SIP  را دور بزنند.

سخن پایانی

کشف CVE-2024-44243 چالش‌های امنیتی مداوم در macOS و اهمیت به روزرسانی به موقع این سیستم عامل را برجسته می‌کند. از این رو، به کاربران اکیداً توصیه می‌شود که آخرین پچ‌ها و به روزرسانی‌های امنیتی اپل را برای محافظت از سیستم‌های خود در برابر سوء استفاده احتمالی از این آسیب ‌پذیری و حفظ یکپارچگی کلی سیستم اعمال کنند.

[1] System Integrity Protection

منابع