MacOS có một thành phần quan trọng được gọi là System Integrity Protection, hay SIP, chịu trách nhiệm bảo vệ hệ điều hành khỏi phần mềm độc hại và các mối đe dọa khác. Nó thực hiện điều này bằng cách hạn chế các hoạt động ở cấp độ hệ thống – ngay cả đối với người dùng có quyền root – về cơ bản là ngăn chặn phần mềm trái phép thay đổi các thư mục và tệp cụ thể trong các khu vực được bảo vệ.
Việc vô hiệu hóa SIP thường yêu cầu khởi động lại hệ thống và khởi động từ macOS recovery, điều này sẽ yêu cầu truy cập vật lý vào máy bị xâm phạm. Tuy nhiên, các thành viên của nhóm Microsoft Threat Intelligence đã phát hiện ra một lỗ hổng (được theo dõi là CVE-2024-44243 và đôi khi được báo cáo là 'Migraine) bỏ qua SIP và cho phép các tiện ích mở rộng hạt nhân của bên thứ ba tải. Lỗ hổng này có thể dẫn đến những hậu quả nghiêm trọng về bảo mật cho tất cả người dùng Mac.
Bằng cách khai thác lỗ hổng bảo mật này, các tác nhân đe dọa có thể truy cập dữ liệu nhạy cảm bằng cách thay thế các cơ sở dữ liệu quản lý các chính sách TCC, nghĩa là vị trí, lịch sử duyệt web, quyền truy cập camera và micrô đều có thể truy cập được mà không cần sự đồng ý của người dùng. Việc bỏ qua SIP cũng có thể dẫn đến việc cài đặt phần mềm độc hại hoặc rootkit, vô hiệu hóa hoặc thay đổi các công cụ bảo mật để tránh bị phát hiện và tạo cơ hội cho các cuộc tấn công bổ sung. Theo các nhà nghiên cứu của Microsoft, kẻ tấn công thậm chí có thể tạo ra các tệp được bảo vệ bởi SIP mà không thể xóa bằng các phương tiện thông thường.
Được Apple mô tả là sự cố logic có thể cho phép ứng dụng độc hại sửa đổi các phần được bảo vệ của hệ thống, công ty đã phát hành bản vá cho lỗ hổng này vào tháng 12 năm ngoái; các bản cập nhật kể từ macOS Sequoia 15.2 cũng đã chứa bản sửa lỗi cho lỗ hổng này.
Nhóm Microsoft Threat Intelligence đã xác định lỗ hổng cụ thể trong daemon Storage Kit, đây là quy trình macOS quan trọng chịu trách nhiệm quản lý các hoạt động trạng thái đĩa. Lỗ hổng này có thể cho phép kẻ tấn công có quyền truy cập gốc bỏ qua các biện pháp bảo vệ SIP bằng cách đưa vào và kích hoạt các gói hệ thống tệp tùy chỉnh để thực hiện các hành động trái phép. Bản thân việc bỏ qua này được thực hiện bằng cách tận dụng Trợ lý di chuyển, một công cụ macOS tích hợp kích hoạt quy trình di chuyển để khởi chạy một tải trọng tùy ý.
Nhóm Microsoft cũng phát hiện ra một số triển khai hệ thống tệp của bên thứ ba dễ bị khai thác, bao gồm Tuxera, Paragon, EaseUS và iBoysoft. Bằng cách nhúng mã tùy chỉnh vào các hệ thống tệp này và sử dụng các công cụ như Disk Utility hoặc lệnh 'diskutil', kẻ tấn công có thể vượt qua SIP và ghi đè danh sách loại trừ tiện ích mở rộng hạt nhân của Apple.
Một kỹ thuật bỏ qua khác loại bỏ bảo vệ TCC cho trình duyệt Safari đã được phát hiện trước đó khi Apple phát hành bản vá cho lỗ hổng bảo mật đó vào ngày 16 tháng 9. Báo cáo đó, được nộp vào tháng 8, cho thấy sáu ứng dụng của Microsoft dễ bị khai thác có thể cấp quyền truy cập trái phép vào thông tin nhạy cảm, gửi email, ghi video và âm thanh mà không cần bất kỳ tương tác nào của người dùng. Các ứng dụng đó là Outlook, Teams, PowerPoint, OneNote, Excel, Word.
Nếu bạn đang sử dụng một trong những chiếc MacBook tốt nhất hoặc máy Mac để bàn như Mac mini M4 hoặc iMac, bạn nên cài đặt các bản cập nhật ngay khi chúng có sẵn. Tuy nhiên, để được bảo vệ thêm, bạn thậm chí có thể muốn đầu tư vào phần mềm diệt vi-rút Mac tốt nhất.
Việc vô hiệu hóa SIP thường yêu cầu khởi động lại hệ thống và khởi động từ macOS recovery, điều này sẽ yêu cầu truy cập vật lý vào máy bị xâm phạm. Tuy nhiên, các thành viên của nhóm Microsoft Threat Intelligence đã phát hiện ra một lỗ hổng (được theo dõi là CVE-2024-44243 và đôi khi được báo cáo là 'Migraine) bỏ qua SIP và cho phép các tiện ích mở rộng hạt nhân của bên thứ ba tải. Lỗ hổng này có thể dẫn đến những hậu quả nghiêm trọng về bảo mật cho tất cả người dùng Mac.
Bằng cách khai thác lỗ hổng bảo mật này, các tác nhân đe dọa có thể truy cập dữ liệu nhạy cảm bằng cách thay thế các cơ sở dữ liệu quản lý các chính sách TCC, nghĩa là vị trí, lịch sử duyệt web, quyền truy cập camera và micrô đều có thể truy cập được mà không cần sự đồng ý của người dùng. Việc bỏ qua SIP cũng có thể dẫn đến việc cài đặt phần mềm độc hại hoặc rootkit, vô hiệu hóa hoặc thay đổi các công cụ bảo mật để tránh bị phát hiện và tạo cơ hội cho các cuộc tấn công bổ sung. Theo các nhà nghiên cứu của Microsoft, kẻ tấn công thậm chí có thể tạo ra các tệp được bảo vệ bởi SIP mà không thể xóa bằng các phương tiện thông thường.
Được Apple mô tả là sự cố logic có thể cho phép ứng dụng độc hại sửa đổi các phần được bảo vệ của hệ thống, công ty đã phát hành bản vá cho lỗ hổng này vào tháng 12 năm ngoái; các bản cập nhật kể từ macOS Sequoia 15.2 cũng đã chứa bản sửa lỗi cho lỗ hổng này.
Nhóm Microsoft Threat Intelligence đã xác định lỗ hổng cụ thể trong daemon Storage Kit, đây là quy trình macOS quan trọng chịu trách nhiệm quản lý các hoạt động trạng thái đĩa. Lỗ hổng này có thể cho phép kẻ tấn công có quyền truy cập gốc bỏ qua các biện pháp bảo vệ SIP bằng cách đưa vào và kích hoạt các gói hệ thống tệp tùy chỉnh để thực hiện các hành động trái phép. Bản thân việc bỏ qua này được thực hiện bằng cách tận dụng Trợ lý di chuyển, một công cụ macOS tích hợp kích hoạt quy trình di chuyển để khởi chạy một tải trọng tùy ý.
Nhóm Microsoft cũng phát hiện ra một số triển khai hệ thống tệp của bên thứ ba dễ bị khai thác, bao gồm Tuxera, Paragon, EaseUS và iBoysoft. Bằng cách nhúng mã tùy chỉnh vào các hệ thống tệp này và sử dụng các công cụ như Disk Utility hoặc lệnh 'diskutil', kẻ tấn công có thể vượt qua SIP và ghi đè danh sách loại trừ tiện ích mở rộng hạt nhân của Apple.
Một kỹ thuật bỏ qua khác loại bỏ bảo vệ TCC cho trình duyệt Safari đã được phát hiện trước đó khi Apple phát hành bản vá cho lỗ hổng bảo mật đó vào ngày 16 tháng 9. Báo cáo đó, được nộp vào tháng 8, cho thấy sáu ứng dụng của Microsoft dễ bị khai thác có thể cấp quyền truy cập trái phép vào thông tin nhạy cảm, gửi email, ghi video và âm thanh mà không cần bất kỳ tương tác nào của người dùng. Các ứng dụng đó là Outlook, Teams, PowerPoint, OneNote, Excel, Word.
Nếu bạn đang sử dụng một trong những chiếc MacBook tốt nhất hoặc máy Mac để bàn như Mac mini M4 hoặc iMac, bạn nên cài đặt các bản cập nhật ngay khi chúng có sẵn. Tuy nhiên, để được bảo vệ thêm, bạn thậm chí có thể muốn đầu tư vào phần mềm diệt vi-rút Mac tốt nhất.
- Người dùng iPhone đang bị đe dọa bởi cuộc tấn công 'đặt lại mật khẩu' mới
- Phần mềm độc hại macOS mới sử dụng mã của riêng Apple để âm thầm đánh cắp thông tin đăng nhập và dữ liệu
- ID Apple đang bị đe dọa bởi cuộc tấn công lừa đảo mới lây lan qua tin nhắn văn bản — đừng mắc bẫy này
