Microsoft опубликовала данные об уязвимости в macOS, позволяющей злоумышленникам обходить System Integrity Protection (SIP) и устанавливать вредоносные драйверы на уровне ядра.
Защитный механизм SIP, который иногда ещё называют «rootless», должен блокировать вредоносным и подозрительным программам доступ к определённым директориям.
Для этого ограничиваются права root-пользователя при работе с конкретными компонентами ОС, где привилегии есть лишь у подписанных Apple процессов (например, обновления системы).
Отключение SIP, как правило, требует перезагрузки системы и работы из режима восстановления macOS, что, само собой, подразумевает наличие физического доступа к компьютеру.
Именно поэтому уязвимость под идентификатором CVE-2024-44243 может использовать лишь локальный атакующий с правами root. При этом также потребуется взаимодействие с целевым пользователем.
Саму брешь нашли в демоне Storage Kit, задача которого — следить за состоянием диска. В случае эксплуатации злоумышленники могут обойти защиту SIP и установить руткиты.
Apple устранила CVE-2024-44243 с выходом macOS Sequoia версии 15.2 (релиз состоялся в декабре). А Microsoft параллельно выложила технические подробности уязвимости.
