Microsoft предупредила о дыре в macOS, позволяющей устанавливать руткиты

Microsoft опубликовала данные об уязвимости в macOS, позволяющей злоумышленникам обходить System Integrity Protection (SIP) и устанавливать вредоносные драйверы на уровне ядра.

Защитный механизм SIP, который иногда ещё называют «rootless», должен блокировать вредоносным и подозрительным программам доступ к определённым директориям.

Для этого ограничиваются права root-пользователя при работе с конкретными компонентами ОС, где привилегии есть лишь у подписанных Apple процессов (например, обновления системы).

Отключение SIP, как правило, требует перезагрузки системы и работы из режима восстановления macOS, что, само собой, подразумевает наличие физического доступа к компьютеру.

Именно поэтому уязвимость под идентификатором CVE-2024-44243 может использовать лишь локальный атакующий с правами root. При этом также потребуется взаимодействие с целевым пользователем.

Саму брешь нашли в демоне Storage Kit, задача которого — следить за состоянием диска. В случае эксплуатации злоумышленники могут обойти защиту SIP и установить руткиты.

Apple устранила CVE-2024-44243 с выходом macOS Sequoia версии 15.2 (релиз состоялся в декабре). А Microsoft параллельно выложила технические подробности уязвимости.