
Microsoft telah menjelaskan kelemahan keamanan yang kini telah ditambal yang berdampak pada Apple macOS yang, jika berhasil dieksploitasi, dapat memungkinkan penyerang yang berjalan sebagai “root” untuk melewati Perlindungan Integritas Sistem (SIP) sistem operasi dan menginstal driver kernel berbahaya dengan memuat driver ketiga- ekstensi kernel pihak.
Kerentanan yang dimaksud adalah CVE-2024-44243 (skor CVSS: 5.5), bug tingkat keparahan sedang yang telah diatasi oleh Apple sebagai bagian dari macOS Sequoia 15.2 yang dirilis bulan lalu. Pembuat iPhone menggambarkannya sebagai “masalah konfigurasi” yang memungkinkan aplikasi jahat memodifikasi bagian sistem file yang dilindungi.
“Melewati SIP dapat mengakibatkan konsekuensi serius, seperti meningkatkan potensi penyerang dan pembuat malware untuk berhasil menginstal rootkit, membuat malware yang persisten, melewati Transparansi, Persetujuan, dan Kontrol (TCC), dan memperluas permukaan serangan untuk teknik dan eksploitasi tambahan,” Kata Jonathan Bar Or dari tim Threat Intelligence Microsoft.

SIP, juga disebut rootless, adalah kerangka keamanan yang bertujuan untuk mencegah perangkat lunak berbahaya yang diinstal pada Mac merusak bagian sistem operasi yang dilindungi, termasuk /System, /usr, /bin, /sbin, /var, dan aplikasi. yang sudah diinstal sebelumnya pada perangkat.
Ia bekerja dengan menerapkan berbagai perlindungan terhadap akun pengguna root, mengizinkan modifikasi bagian yang dilindungi ini hanya dengan proses yang ditandatangani oleh Apple dan memiliki hak khusus untuk menulis ke file sistem, seperti pembaruan perangkat lunak Apple dan penginstal Apple.
Dua hak khusus untuk SIP ada di bawah –
- com.apple.rootless.install, yang menghilangkan batasan sistem file SIP untuk proses dengan hak ini
- com.apple.rootless.install.heritable, yang menghilangkan batasan sistem file SIP untuk suatu proses dan semua proses turunannya dengan mewarisi hak com.apple.rootless.install
CVE-2024-44243, bypass SIP terbaru yang ditemukan oleh Microsoft di macOS setelah CVE-2021-30892 (Shrootless) dan CVE-2023-32369 (Migraine), mengeksploitasi daemon Storage Kit (storagekitd) “com.apple.rootless.install Hak .heritable” untuk menghindari perlindungan SIP.
Secara khusus, hal ini dicapai dengan memanfaatkan “kemampuanstoragekitd untuk menjalankan proses sewenang-wenang tanpa validasi yang tepat atau menghapus hak istimewa” untuk mengirimkan bundel sistem file baru ke /Library/Filesystems – proses turunan dari storagekitd – dan mengganti biner yang terkait dengan Disk Utilitas, yang kemudian dapat dipicu selama operasi tertentu seperti perbaikan disk.

“Karena penyerang yang dapat berjalan sebagai root dapat menjatuhkan bundel sistem file baru ke /Library/Filesystems, mereka nantinya dapat memicu storagekitd untuk menghasilkan binari khusus, sehingga melewati SIP,” kata Bar Or. “Memicu operasi penghapusan pada sistem file yang baru dibuat dapat melewati perlindungan SIP juga.”
Pengungkapan ini terjadi hampir tiga bulan setelah Microsoft juga merinci kelemahan keamanan lain dalam kerangka Transparansi, Persetujuan, dan Kontrol (TCC) Apple di macOS (CVE-2024-44133, skor CVSS: 5.5) – alias HM Surf – yang dapat dieksploitasi untuk mengakses data sensitif.
“Melarang kode pihak ketiga untuk dijalankan di kernel dapat meningkatkan keandalan macOS, dampaknya adalah mengurangi kemampuan pemantauan untuk solusi keamanan,” kata Bar Or.
“Jika SIP dilewati, seluruh sistem operasi tidak lagi dapat diandalkan, dan dengan berkurangnya visibilitas pemantauan, pelaku ancaman dapat merusak solusi keamanan apa pun pada perangkat untuk menghindari deteksi.”