Microsoft-onderzoekers hebben eind vorig jaar een kritieke System Integrity Protection (SIP)-kwetsbaarheid ontdekt in macOS. Deze kwetsbaarheid stelt cybercriminelen in staat de securitymaatregelen van macOS-systemen te omzeilen, met alle gevolgen van dien.
Eind vorig jaar ontdekten securityexperts van Microsoft een kritieke kwetsbaarheid, CVE-2024-44243, die het mogelijk maakt de SIP-securityfeatures van Apple in macOS te omzeilen. Op die manier kunnen cybercriminelen onder meer kwaadaardige kernel drivers installeren via het laden van kernel-extensies van derde partijen.
SIP, ook wel ‘rootless’ genoemd, is een security-eigenschap van macOS die ervoor zorgt dat bepaalde handelingen van kwaadaardige software worden voorkomen om de systeemintegriteit te beschermen. Bijvoorbeeld het wijzigen van bepaalde folders en bestanden door de rechten van de root-gebruikersaccount in beschermde gebieden te beperken.
Op deze manier kunnen hackers succesvol rootkits installeren, hardnekkige, permanent aanwezige malware creëren, Transparency, Consent and Control (TCC)-functionaliteit omzeilen en het aanvalsoppervlak verder vergroten.
Kwetsbaarheid in Storage Kit
SIP van Apple staat alleen processen toe die zijn ondertekend door de techgigant of processen met speciale toestemming om door macOS beschermde onderdelen aan te passen. Denk hierbij aan Apple-softwareupdates.
Om deze feature uit te schakelen, moet een macOS-systeem normaal gesproken worden herstart en opgestart vanuit macOS Recovery. Dit betekent dat fysieke toegang tot het systeem vereist is.
De nu aangetroffen kwetsbaarheid bevindt zich in de Storage Kit-daemon-feature binnen macOS. Deze feature handelt de zogenoemde ‘disk state-keeping’ af. Hierdoor kunnen cybercriminelen de SIP-rootrestricties omzeilen zonder fysieke toegang tot het aangevallen systeem.
Microsoft heeft Apple op de hoogte gesteld van de kritieke kwetsbaarheid. Inmiddels is de kwetsbaarheid opgelost met de release van de nieuwe security-updates voor macOS Sequoia 15.2 verholpen.
Andere Microsoft-ontdekkingen
Het is niet de eerste keer dat Microsoft SIP-kwetsbaarheden ontdekt in macOS van concurrent Apple. In 2021 werd bijvoorbeeld de SIP-kwetsbaarheid CVE-2021-30892 ontdekt en meer recent nog CVE-2023-32369.
Een andere ontdekte kritieke macOS-kwetsbaarheid is onder meer CVE-2022-42821 dat malware via onbekende apps kan downloaden die de zogenoemde Gatekeeper uitvoeringsbeperkingen omzeilt.
De macOS-kwetsbaarheid CVE-2021-30970 laat hackers de TCC-technologie omzeilen voor toegang tot de beschermde data van macOS-eindgebruikers.
Lees ook: Nederlandse hacker Alkemade vindt kritieke kwetsbaarheid in macOS