Microsoft: macOS-fout stelt hackers in staat om kwaadaardige kernelstuurprogramma’s te installeren.

Apple heeft onlangs een kwetsbaarheid in macOS aangepakt die aanvallers in staat stelt om System Integrity Protection (SIP) te omzeilen en schadelijke kernel drivers te installeren door kernel extensies van derden te laden.

System Integrity Protection (SIP), ook bekend als ‘rootless,’ is een macOS-beveiligingsfunctie die voorkomt dat schadelijke software specifieke mappen en bestanden wijzigt door de bevoegdheden van het root-gebruikersaccount in beschermde gebieden te beperken.

SIP staat alleen door Apple ondertekende processen of processen met speciale rechten, zoals Apple-software-updates, toe om macOS-beschermde componenten te wijzigen. Het uitschakelen van SIP vereist normaal gesproken een systeemherstart en opstarten vanaf macOS Herstel (het ingebouwde herstelsysteem), wat fysieke toegang tot het gecompromitteerde apparaat vereist.

De beveiligingsfout (gevolgd als CVE-2024-44243), die alleen geëxploiteerd kan worden door lokale aanvallers met rootrechten in aanvallen van lage complexiteit die gebruikersinteractie vereisen, werd gevonden in de Storage Kit-daemon die verantwoordelijk is voor het beheer van de schijfstatus.

Succesvolle exploitatie kan aanvallers in staat stellen om SIP wortelbeperkingen zonder fysieke toegang te omzeilen om rootkits (kernel drivers) te installeren, hardnekkige, “onverwijderbare” malware te creëren, of Transparantie, Toestemming en Controle (TCC) beveiligingscontroles te omzeilen om toegang te krijgen tot de gegevens van slachtoffers.

Apple heeft de kwetsbaarheid gepatcht in beveiligingsupdates voor macOS Sequoia 15.2, uitgebracht een maand geleden, op 11 december 2024.

storagekitd SIP-gerelateerde rechten
storagekitd SIP-gerelateerde rechten (Microsoft)

“System Integrity Protection (SIP) dient als een kritieke bescherming tegen malware, aanvallers en andere cyberbeveiligingsbedreigingen, en vormt een fundamentele beschermingslaag voor macOS-systemen,” aldus Microsoft vandaag in een rapport dat meer technische details biedt over CVE-2024-44243.

“Het omzeilen van SIP beïnvloedt de beveiliging van het gehele besturingssysteem en kan ernstige gevolgen hebben, wat de noodzaak benadrukt van uitgebreide beveiligingsoplossingen die abnormaal gedrag van speciaal bevoegde processen kunnen detecteren.”

Microsoft onderzoekers hebben in de afgelopen jaren meerdere kwetsbaarheden in macOS ontdekt. Een SIP-bypass genaamd ‘Shrootless’ (CVE-2021-30892), gerapporteerd in 2021, stelt aanvallers ook in staat om willekeurige bewerkingen uit te voeren op gecompromitteerde Macs en mogelijk rootkits te installeren.

Meer recent ontdekten ze ook een andere SIP-bypass genaamd ‘Migraine’ (CVE-2023-32369) en een beveiligingslek bekend als Achilles (CVE-2022-42821), die geëxploiteerd kunnen worden om malware in te zetten via niet-vertrouwde apps die Gatekeeper-uitvoeringsbeperkingen kunnen omzeilen.

Microsoft hoofdonderzoeker op het gebied van beveiliging Jonathan Bar Or ontdekte ook ‘powerdir’ (CVE-2021-30970), een andere macOS-kwetsbaarheid die aanvallers in staat stelt om Transparantie, Toestemming en Controle (TCC) technologie te omzeilen om toegang te krijgen tot beschermde gegevens van macOS-gebruikers.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----