Người dùng máy Mac sẽ được khuyên nên tải xuống và cài đặt macOS 15.2, bản cập nhật cho macOS Sequoia do Apple phát hành vào ngày 11 tháng 12. Nó thực sự cung cấp bản sửa lỗi cho lỗ hổng bảo mật CVE-2024-44243 được Microsoft phát hiện. Bây giờ lỗ hổng đã được vá, nhà phát hành có thể thông báo về bản chất và mức độ nguy hiểm của nó.
Lỗ hổng này cho phép kẻ tấn công bỏ qua SIP (Bảo vệ toàn vẹn hệ thống), một hệ thống bảo vệ được kích hoạt theo mặc định để ngăn chặn các sửa đổi trái phép đối với các tệp và thành phần hệ thống, ngay cả bởi những người dùng có quyền root. Lỗ hổng nằm ở StorageKit, nơi quản lý trạng thái đĩa.
Khi SIP đã xâm nhập được vào hệ thống, kẻ tấn công có thể cài đặt rootkit (trình điều khiển hạt nhân) và tạo ra phần mềm độc hại "bền bỉ" rất khó loại bỏ. Họ cũng có khả năng truy cập dữ liệu nhạy cảm. Microsoft giải thích rằng việc bỏ qua SIP “ảnh hưởng đến tính bảo mật của toàn bộ hệ điều hành và có thể dẫn đến hậu quả nghiêm trọng.”
Để tắt SIP, bạn phải khởi động lại macOS vào phân vùng Khôi phục hệ thống. Đây là lý do tại sao tin tặc trước tiên phải có quyền truy cập vật lý vào máy tính và có quyền root của nạn nhân, người cũng phải thực hiện hành động. Có thể nói rằng việc khai thác lỗ hổng này đòi hỏi sự kết hợp của nhiều sự kiện.
Nguồn: BleepingComputer
Một lỗ hổng phức tạp để khai thác
Lỗ hổng này cho phép kẻ tấn công bỏ qua SIP (Bảo vệ toàn vẹn hệ thống), một hệ thống bảo vệ được kích hoạt theo mặc định để ngăn chặn các sửa đổi trái phép đối với các tệp và thành phần hệ thống, ngay cả bởi những người dùng có quyền root. Lỗ hổng nằm ở StorageKit, nơi quản lý trạng thái đĩa.
Khi SIP đã xâm nhập được vào hệ thống, kẻ tấn công có thể cài đặt rootkit (trình điều khiển hạt nhân) và tạo ra phần mềm độc hại "bền bỉ" rất khó loại bỏ. Họ cũng có khả năng truy cập dữ liệu nhạy cảm. Microsoft giải thích rằng việc bỏ qua SIP “ảnh hưởng đến tính bảo mật của toàn bộ hệ điều hành và có thể dẫn đến hậu quả nghiêm trọng.”
Để tắt SIP, bạn phải khởi động lại macOS vào phân vùng Khôi phục hệ thống. Đây là lý do tại sao tin tặc trước tiên phải có quyền truy cập vật lý vào máy tính và có quyền root của nạn nhân, người cũng phải thực hiện hành động. Có thể nói rằng việc khai thác lỗ hổng này đòi hỏi sự kết hợp của nhiều sự kiện.
Nguồn: BleepingComputer
