Microsoft heeft licht geworpen op een inmiddels gepatchte beveiligingsfout die gevolgen heeft voor Apple macOS en die, als deze met succes werd uitgebuit, een aanvaller die als “root” draaide, in staat had kunnen stellen de System Integrity Protection (SIP) van het besturingssysteem te omzeilen en kwaadaardige kernelstuurprogramma’s te installeren door derde- party kernelextensies.
De kwetsbaarheid in kwestie is CVE-2024-44243 (CVSS-score: 5,5), een bug van gemiddelde ernst die door Apple is verholpen als onderdeel van macOS Sequoia 15.2 dat vorige maand werd uitgebracht. De iPhone-maker beschreef het als een “configuratieprobleem” waardoor een kwaadaardige app beschermde delen van het bestandssysteem zou kunnen wijzigen.
“Het omzeilen van SIP zou tot ernstige gevolgen kunnen leiden, zoals het vergroten van de kans voor aanvallers en malware-auteurs om met succes rootkits te installeren, persistente malware te creëren, Transparency, Consent and Control (TCC) te omzeilen en het aanvalsoppervlak uit te breiden voor aanvullende technieken en exploits,” Jonathan Bar Or van het Microsoft Threat Intelligence-team zei.
SIP, ook wel rootless genoemd, is een beveiligingsframework dat tot doel heeft te voorkomen dat kwaadaardige software die op een Mac is geïnstalleerd, knoeit met de beschermde delen van het besturingssysteem, waaronder /System, /usr, /bin, /sbin, /var en de apps die vooraf op het apparaat zijn geïnstalleerd.
Het werkt door het afdwingen van verschillende beveiligingen tegen de rootgebruikersaccount, waardoor wijziging van deze beschermde delen alleen mogelijk is door processen die door Apple zijn ondertekend en speciale rechten hebben om naar systeembestanden te schrijven, zoals Apple-software-updates en Apple-installatieprogramma’s.
De twee rechten die specifiek zijn voor SIP staan hieronder:
- com.apple.rootless.install, waarmee de bestandssysteembeperkingen van SIP voor een proces met dit recht worden opgeheven
- com.apple.rootless.install.heritable, dat de bestandssysteembeperkingen van SIP voor een proces en alle onderliggende processen opheft door het recht com.apple.rootless.install over te nemen
CVE-2024-44243, de nieuwste SIP-bypass ontdekt door Microsoft in macOS na CVE-2021-30892 (Shrootless) en CVE-2023-32369 (Migraine), maakt gebruik van de Storage Kit-daemon (storagekitd) “com.apple.rootless.install .heritable”-recht om SIP-beveiligingen te omzeilen.
Dit wordt specifiek bereikt door gebruik te maken van “de mogelijkheid van storagekitd om willekeurige processen aan te roepen zonder de juiste validatie of het laten vallen van privileges” om een nieuwe bestandssysteembundel te leveren aan /Library/Filesystems – een onderliggend proces van storagekitd – en de binaire bestanden die aan de schijf zijn gekoppeld te overschrijven. Hulpprogramma, dat vervolgens kan worden geactiveerd tijdens bepaalde bewerkingen, zoals schijfreparatie.
“Aangezien een aanvaller die als root kan werken een nieuwe bestandssysteembundel naar /Library/Filesystems kan droppen, kunnen ze later storagekitd activeren om aangepaste binaire bestanden te spawnen, waardoor SIP wordt omzeild”, aldus Bar Or. “Het activeren van de wisbewerking op het nieuw aangemaakte bestandssysteem kan ook SIP-beveiligingen omzeilen.”
De onthulling komt bijna drie maanden nadat Microsoft ook een ander beveiligingslek in Apples Transparency, Consent, and Control (TCC)-framework in macOS (CVE-2024-44133, CVSS-score: 5,5) – ook bekend als HM Surf – heeft beschreven dat kan worden misbruikt om toegang te krijgen gevoelige gegevens.
“Het verbieden van code van derden om in de kernel te draaien kan de betrouwbaarheid van macOS vergroten, met als wisselwerking dat het de monitoringmogelijkheden voor beveiligingsoplossingen vermindert”, zegt Bar Or.
“Als SIP wordt omzeild, kan het hele besturingssysteem niet langer als betrouwbaar worden beschouwd, en met verminderde zichtbaarheid van de monitoring kunnen bedreigingsactoren met beveiligingsoplossingen op het apparaat knoeien om detectie te omzeilen.”
