Angebot für Mehrfachlizenz-Rabatt
Problem CVE-2024-44243 macOS-Sicherheitslücke

CVE-2024-44243 macOS-Sicherheitslücke

Von Mezo in Problem
Übersetzen Sie in:
Deutsch

Microsoft hat eine Sicherheitslücke in Apple macOS aufgedeckt, die es Hackern mit Root-Zugriff ermöglicht hätte, den Systemintegritätsschutz (SIP) zu umgehen. Dieser Fehler hätte die unbefugte Installation beschädigter Kerneltreiber über Kernel-Erweiterungen von Drittanbietern ermöglicht und so die Systemsicherheit erheblich beeinträchtigt.

Die Details zu CVE-2024-44243

Die Schwachstelle mit der Bezeichnung CVE-2024-44243 wies einen CVSS-Schweregrad von 5,5 auf und wurde als Problem mit mittlerem Risiko eingestuft. Apple hat diesen Fehler letzten Monat im Update für macOS Sequoia 15.2 behoben. Das Unternehmen beschrieb ihn als „Konfigurationsproblem“, das es einer unsicheren Anwendung ermöglichen könnte, geschützte Bereiche des Dateisystems zu ändern und so die grundlegenden Sicherheitsvorkehrungen effektiv zu schwächen.

Die Risiken der Umgehung von SIP

System Integrity Protection, auch als „rootless“ bekannt, ist ein grundlegender Sicherheitsmechanismus von macOS, der unbefugte Änderungen an kritischen Systemkomponenten verhindern soll. Durch Umgehen von SIP könnten Angreifer hartnäckige Bedrohungen wie Rootkits installieren, Apples Transparency, Consent, and Control (TCC)-Framework umgehen und die Tür für weitere Ausnutzung öffnen.

So schützt SIP macOS

SIP funktioniert, indem es strenge Zugriffskontrollen für wichtige Verzeichnisse durchsetzt, darunter /System, /usr, /bin, /sbin und /var. Es beschränkt Änderungen an diesen Bereichen auf ausschließlich von Apple signierte Prozesse mit bestimmten Berechtigungen, wie z. B. Softwareupdates und Systeminstallationsprogramme. Diese Schutzmaßnahme verhindert, dass sowohl Benutzer als auch Angreifer die Kernfunktionen von macOS manipulieren.

SIP-Ansprüche: Ein zweischneidiges Schwert

Apple bietet zwei wichtige SIP-Berechtigungen, die Änderungen regeln:

  • com.apple.rootless.install : Erteilt die Berechtigung, die Dateisystembeschränkungen von SIP für einen bestimmten Prozess zu umgehen.
  • com.apple.rootless.install.heritable: Erweitert die Bypass-Berechtigung auf den Prozess und alle seine untergeordneten Prozesse.

Durch die Ausnutzung dieser Berechtigungen könnten Angreifer den SIP-Schutz umgehen, was dies zu einem kritischen Sicherheitsrisiko macht.

Der Exploit: Wie Angreifer SIP umgehen könnten

Der neu entdeckte SIP-Bypass nutzt, ähnlich wie frühere Exploits wie CVE-2021-30892 (Shrootless) und CVE-2023-32369 (Migraine), die Berechtigung „com.apple.rootless.install.heritable“ im Storage Kit-Daemon (storagekitd) von macOS.

Indem sie die Fähigkeit von storagekitd missbrauchen, beliebige Prozesse ohne Validierung zu starten, könnten Angreifer ein bedrohliches Dateisystempaket in /Library/Filesystems einschleusen. Dies würde es ihnen ermöglichen, mit dem Festplatten-Dienstprogramm von macOS verknüpfte Binärdateien zu überschreiben und so während Vorgängen wie der Festplattenreparatur einen Angriff auszulösen. Darüber hinaus könnte ein Root-Benutzer diesen Fehler ausnutzen, um nicht autorisierten Code auszuführen und so den SIP-Schutz vollständig zu umgehen.

Weitere Sicherheitserkenntnisse von Microsoft

Diese Entdeckung folgt auf Microsofts früheren Bericht über eine andere macOS-Sicherheitslücke im Transparency, Consent, and Control (TCC)-Framework (CVE-2024-44133, auch bekannt als HM Surf). Dieser Fehler mit demselben CVSS-Score von 5,5 hätte ausgenutzt werden können, um auf vertrauliche Benutzerdaten zuzugreifen. Das wiederholte Angreifen der macOS-Sicherheitsmaßnahmen unterstreicht die Notwendigkeit ständiger Wachsamkeit und Patching.

Das Gesamtbild: Warum SIP wichtig ist

Durch die Einschränkung von Kernel-Erweiterungen von Drittanbietern verbessert Apple die Stabilität und Sicherheit von macOS. Das Umgehen von SIP beeinträchtigt jedoch diese Schutzmechanismen und macht das System anfällig für fortgeschrittene Bedrohungen. Wenn SIP deaktiviert ist, können Sicherheitslösungen auch ihre Sichtbarkeit verlieren, sodass Angreifer Sicherheitstools unbemerkt manipulieren oder deaktivieren können.

Ein Hauptziel für Angreifer

SIP bleibt für Sicherheitsforscher und Bedrohungsakteure gleichermaßen ein begehrtes Ziel. Viele der Sicherheitsvorkehrungen von Apple gehen davon aus, dass SIP nicht umgangen werden kann, sodass jeder Exploit ein bedeutender Durchbruch ist. Erfolgreiche Angriffe könnten es Hackern ermöglichen, schädliche Dateien in geschützten Verzeichnissen zu platzieren, Aktivitäten vor Sicherheitstools zu verbergen und die Sicherheitsabfragen von macOS vollständig zu umgehen.

Geschützt bleiben: Warum Updates unerlässlich sind

Angreifer verwenden bekanntermaßen Social-Engineering-Taktiken, um Benutzer dazu zu bringen, unnötige Berechtigungen zu erteilen. Ein Exploit von SIP könnte jedoch die Notwendigkeit einer Benutzerinteraktion vollständig beseitigen. Angesichts der grundlegenden Rolle von SIP bei der macOS-Sicherheit besteht die beste Verteidigung gegen solche Schwachstellen darin, sicherzustellen, dass macOS immer auf dem neuesten Stand ist. Die Installation der Sicherheitspatches von Apple, sobald sie veröffentlicht werden, ist der effektivste Weg, um zu verhindern, dass Angreifer diese Schwachstellen ausnutzen.

Wird geladen...