Microsoft, MacOS'ta CVE-2024-44243 olarak adlandırılan ve saldırganların temel güvenlik önlemlerini atlamasına ve rootkitleri dağıtmasına izin verebilecek kritik bir güvenlik açığı belirledi. Bu keşif, güvenliği artırmak için teknoloji endüstrisinde zamanında yazılım güncellemeleri ve işbirliği ihtiyacını vurgulamaktadır.
Hassas verileri korumak ve sistem bütünlüğünü korumak için sağlam güvenlik uygulamalarının gerekliliğinin altını çizerek, gelişen siber tehditlere karşı uyanıklığın ve hazırlıkın önemini vurgulamaktadır.
Ayrıca okuyun:Microsoft Office 2024 Mac ve PC için mevcut
MacOS güvenlik açığını anlama CVE-2024-44243
CVE-2024-44243 nedir?
Microsoft araştırmacıları macOS'ta bir güvenlik sorunu buldular. Bu sorun CVE-2024-44243 olarak bilinir. Kötü aktörlerin rootkits takmasına izin verebilir. Kökkit, birine bilgisayarınız üzerinde derin kontrol veren gizli bir anahtar gibidir. Bu ciddi bir sorundur çünkü sistem bütünlüğü korumasını (SIP) atlayabilir.
SIP nasıl çalışıyor ve bu neden önemli
SIP bir Core MacOS güvenlik özelliğidir. Kötü yazılımın önemli sistem dosyalarıyla uğraşmasını durdurur. Bunu Mac'inizin temel yazılımı için bir güvenlik görevlisi olarak düşünün. CVE-2024-44243, saldırganların bu muhafızları geçmesine izin verebilir. Daha sonra tespit edilmesi ve kaldırılması çok zor olan kötü amaçlı yazılımlar yükleyebilirler.
Çekirdek uzantılarının rolü
Çekirdek uzantıları küçük kod parçalarıdır. MacOS'a ekstra özellikler ekliyorlar. Güvenlik açığı, saldırganların kötü çekirdek uzantıları yüklemelerine izin verir. Kökkitleri böyle yükleyebilirler. Bir rootkit mevcut olduğunda, saldırganın çok fazla gücü vardır. Sizi gözetleyebilir, veri çalabilir, hatta Mac'inizi tamamen devralabilirler.
Etki ve azaltma
Bu güvenlik açığı, kök ayrıcalıklarına sahip saldırganlara SIP'yi atlamak için bir yol verir. Bu, kötü niyetli çekirdek uzantıları yüklemelerini sağlar. Bu çok önemli çünkü macOS'un önemli bir güvenlik özelliğini zayıflatıyor. Apple, MacOS Sequoia 15.2'de bir yama yayınladı. Mac'inizi güncellemek güvende kalmak için çok önemlidir.
Teknik detaylar ve zaman çizelgesi
Microsoft bu sorunu buldu ve Apple'a bunu anlattı. Bu sorumlu açıklama, kullanıcıları güvende tutmaya yardımcı olur. Apple daha sonra bir düzeltme üzerinde çalıştı. Tüm bu süreç, güvenlik araştırmacılarının ve yazılım şirketlerinin birlikte çalışmasının ne kadar önemli olduğunu göstermektedir.
Temel yönlerin karşılaştırılması
| Özellik | Tanım |
|---|---|
| CVE-2024-44243 | MacOS güvenlik açığı tanımlayıcısı. |
| Sistem bütünlüğü koruması (SIP) | MacOS'ta sistem dosyalarını koruyan bir güvenlik özelliği. |
| Kökü | Varlığını gizleyen ve yetkisiz erişim sağlayan kötü amaçlı yazılımlar. |
| Çekirdek uzantısı | MacOS'a ekstra özellikler ekleyen kod. |
| MacOS Sequoia 15.2 | Bu güvenlik açığı için yama içeren macOS sürümü. |
Kısa Özet:
- Yeni bulunan güvenlik açığı, yerel saldırganların sistem bütünlüğü korumasını (SIP) atlamasına izin verebilir.
- Sömürü, kalıcı kötü amaçlı yazılım ve rootkit dağıtımının kurulmasına yol açabilir.
- Apple, bu güvenlik açığını macOS için son güncellemede yamaladı.
Microsoft, macOS'ta yeni keşfedilen bir güvenlik açığı ile ilgili bilgileri açıkladı, CVE-2024-44243 tanımlayıcısını atadı. Bu kusur, kök ayrıcalıklarına sahip yerel saldırganların, kök seviyesi erişimi olan kullanıcılar tarafından bile kritik sistem alanlarını değiştirmek için tasarlanmış hayati bir güvenlik özelliği olan sistem bütünlüğü korumasını (SIP) atlamasına izin verdiği için önemli riskler oluşturmaktadır. Microsoft tarafından vurgulandığı gibi, bu güvenlik açığı, potansiyel olarak etkilenen cihazlarda kalıcı ve çözülemez kötü amaçlı yazılımlara yol açan rootkitlerin veya kötü amaçlı çekirdek sürücülerinin kurulumunu kolaylaştırabilir.
Jonathan Bar veya Microsoft'ta başlıca bir güvenlik araştırmacısı olan bu kusurun sonuçlarını açıkladı.
“SIP'yi atlamak, saldırganların ve kötü amaçlı yazılım yazarlarının rootkitleri başarılı bir şekilde yükleme, kalıcı kötü amaçlı yazılımlar oluşturma, şeffaflık, onay ve kontrol (TCC) oluşturma ve ek teknikler ve istismarlar için saldırı yüzeyini genişletme potansiyelini artırmak gibi ciddi sonuçlara yol açabilir.”
Bu ifade, güvenlik açığının potansiyel şiddetinin ve derhal ele almanın öneminin altını çizmektedir.
Yaygın olarak SIP veya 'köksüz' olarak adlandırılan sistem bütünlüğü koruması, MacOS El Capitan'da tanıtılan bir güvenlik protokolüdür. Birincil işlevi, kök izinleriyle çalışsalar bile, uygulamalar tarafından yetkisiz değişiklikleri önleyerek çekirdek macOS bileşenlerini korumaktır. Bu, /System, /usr, /bin, /sbin ve önceden yüklenmiş uygulamalarla ilişkili diğer diğer dizinleri içerir. SIP, yalnızca Apple tarafından imzalanmış işlemlere veya yazılım güncellemeleri gibi belirli haklara sahip olanların hassas sistem dosyalarını değiştirmesine izin verir.
Güvenlik açığının teknik yönünü açıklayarak, CVE-2024-44243'ün Depolama Kiti Daemon'un yetkilendirme işlevselliğini-özellikle, özellikle de kullandığı tespit edildi.com.apple.rootless.install.heritable. Bu yetki, süreçlerin yeterli doğrulama yapmadan keyfi operasyonları çağırmasına izin verir ve daha sonra korunan dizinlerde zararlı dosya sistemi demetlerinin dağıtımını sağlar. Kritik bir sömürü noktası, disk yardımcı programı ile ilişkili ikili dosyaları değiştirme yeteneğini kapsar, bu da onarım gibi disk yönetimi görevleri sırasında etkinleştirilebilir.
Çubuk veya Detaylı Sömürü Süreci:
“Kök olarak çalışabilen bir saldırgan /kütüphane /dosya sistemlerine yeni bir dosya sistemi paketi düşürebildiğinden, daha sonra özel ikili dosyaları ortaya çıkarmak için depolama kekini tetikleyebilirler, bu nedenle SIP'yi atlayabilirler. Yeni oluşturulan dosya sistemindeki silme işlemini tetiklemek yudum korumalarını da atlayabilir.”
Bu yöntem, geleneksel güvenlik protokollerini atlatmak için sofistike bir yaklaşımı göstermektedir.
Bu güvenlik açığı, Microsoft tarafından Apple'ın TCC çerçevesi ile ilgili olarak tanımlanan ve ayrıca CVE atamasını (CVE-2024-44133) alan başka bir ilgili sorunun topuklarında gelir. Microsoft, MACOS güvenlik mekanizmalarını baltalayabilecek keşfedilen güvenlik açıklarının eğiliminin dikkat çekici olduğunu ve daha önce “shrootless” (CVE-2021-30892) ve “migren” (CVE-2023-32369) gibi daha önce SIP korumalarını kesen sorunları vurgulamaktadır.
Uzmanlar, CVE-2024-44243'ten yararlanmanın saldırganların işletim sisteminin korunan alanlarını değiştirmeleri için doğrudan erişim sağlayacağını iddia ediyor. Korku, SIP ölçümlerini atlama yeteneği, tipik kaldırma işlemlerini takip ederek bile sistemde devam eden tespit edilemeyen kötü amaçlı yazılımlar oluşturma gibi bir dizi kötü amaçlı etkinlik sağladığından, acil güvenlik açığının ötesine uzanır.
Bu güvenlik ihlalinin ağırlığı göz önüne alındığında, Apple derhal bir düzeltmeyi 11 Aralık 2024'te yayınlanan en son MacOS Sequoia 15.2 güncellemesine entegre ederek yanıt verdi. MacOS kullanıcılarının bu güncellemeyi potansiyel riskleri azaltmak ve sistem bütünlüğünü geri yüklemek için derhal yüklemeleri isteniyor.
Microsoft, açıklamalarında, sistem bütünlüğünün korumanın macOS cihazlarının korunmasında oynadığı kritik rolü vurguladı. Çubuk veya bakımı,
“SIP, kötü amaçlı yazılımlara, saldırganlara ve diğer siber güvenlik tehditlerine karşı kritik bir koruma görevi görüyor ve macOS sistemleri için temel bir koruma katmanı oluşturuyor.”
Böyle kritik bir sistemin baypası başarısızlık, işletim sisteminin sofistike saldırılara karşı genel güvenilirliğini sorgulamaktadır.
CVE-2024-44243'ün ortaya çıkışı, macOS'taki güvenlik açıklarının dinamik doğasını göstermektedir, hem kullanıcıları hem de geliştiricileri siber güvenlik çabalarında uyanık ve proaktif kalmaya zorlamaktadır. Geleneksel güvenlik savunmaları daha karmaşık saldırı vektörleriyle mücadele ederken, odak, özel olarak haklı süreçlerden kaynaklanan anormal davranış için algılama yeteneklerini artırmaya doğru kaymaktadır.
Güvenlik uzmanları, kuruluşların ve bireysel kullanıcıların yalnızca yazılım güncellemelerini zamanında uygulamakla kalmayıp aynı zamanda yeni güvenlik açıkları için sistemleri sürekli olarak izlemelerini tavsiye ederek kapsamlı önlemleri savunmaktadır. Tespit edilmemiş saldırıların etkileri şiddetli olabilir, güveni aşındırabilir ve önemli operasyonel aksamalar yaratabilir.