Обновите свой Mac как можно скорее
Уязвимость macOS подвергала устройства Apple серьезному риску безопасности из-за обхода защиты целостности системы, но исправление безопасности устранило этот эксплойт.
13 января 2025 года служба Microsoft Threat Intelligence обнаружила критическую уязвимость в macOS — CVE-2024-44243, которая обходит защиту целостности системы (SIP) Apple за счет использования сторонних расширений ядра. Эта проблема, теперь исправленная, могла позволить злоумышленникам поставить под угрозу безопасность macOS в ее основе.
Защита целостности системы (SIP) — это функция безопасности macOS, предназначенная для защиты критически важных системных файлов и процессов. Он запрещает даже пользователям с правами администратора вносить изменения, которые могут поставить под угрозу стабильность и безопасность операционной системы.
SIP защищает конфиденциальные системные файлы, предотвращает выполнение произвольного кода ядра и гарантирует, что приложения не смогут загружать неавторизованные драйверы ядра.
CVE-2024-44243 показал, как злоумышленники могут обойти защиту SIP, загрузив вредоносные сторонние расширения ядра, называемые руткитами. Руткиты предоставляют несанкционированный доступ, устанавливают постоянное вредоносное ПО, обходят разрешения пользователей и вмешиваются в механизмы безопасности.
Как работает CVE-2024-44243
Уязвимость основана на «правах» — специальных разрешениях, встроенных в процессы macOS. Эти права важны для SIP, поскольку они определяют, что процесс может и не может делать.
Storagekitd и его права. Изображение предоставлено: Microsoft
Некоторые процессы имеют частные права, зарезервированные для важных системных функций, таких как отладка или управление файлами.
Исследователи Microsoft обнаружили, что злоумышленники могут использовать соответствующие процессы, в частности демон Storagekitd, который управляет состоянием диска через платформу Apple Storage Kit. Поскольку Storagekitd наследует широкие привилегии, он может создавать дочерние процессы, способные обходить SIP.
Злоумышленники могут вставить свои собственные расширения ядра, чтобы получить контроль над операционной системой без обнаружения с помощью демона.
После выявления уязвимости Microsoft сообщила о ней Apple в рамках процесса скоординированного раскрытия уязвимостей (CVD). Apple устранила CVE-2024-44243 в своих обновлениях безопасности от 11 декабря 2024 года, призывая всех пользователей немедленно обновить свои компьютеры Mac.
Как защитить свой Mac
Лучший способ защитить ваш Mac от этой уязвимости — убедиться, что на нем установлено последнее обновление macOS. Apple устранила эту проблему в своих исправлениях безопасности от 11 декабря 2024 года, поэтому крайне важно обновиться, если вы еще этого не сделали.
Чтобы проверить, перейдите в «Настройки системы» > «Основные» > «Обновление программного обеспечения» и установите все доступные обновления.
Если вы используете более старый Mac, который не поддерживает последнюю версию macOS, следите за обновлениями безопасности Apple, чтобы найти исправления, которые все еще могут быть применимы к вашей системе. Также рекомендуется избегать установки сторонних расширений ядра, если вы не уверены, что они получены из надежного источника.
Вам не придется беспокоиться о случайном отключении SIP. В macOS он включен по умолчанию, и для его отключения требуются целенаправленные действия с использованием терминала в режиме восстановления.
Apple исправляет ошибку в macOS, которая позволяла злоумышленникам обходить защиту системы