macOSمایکروسافت یک نقص امنیتی وصله شده را که بر macOS اپل تأثیر می‌گذارد، شناسایی کرده است که در صورت بهره‌برداری موفقیت‌آمیز، می‌تواند به مهاجمی که به‌عنوان «ریشه» اجرا می‌شود، اجازه دهد حفاظت از یکپارچگی سیستم ([۱]SIP) در سیستم‌عامل را دور بزند و با بارگذاری افزونه‌های کرنل third-party، درایورهای کرنل مخرب را نصب کند.

آسیب‌پذیری موردبحث CVE-2024-44243 (امتیاز ۵٫۵ در CVSS)، یک باگ با شدت متوسط ​​است[۲] که توسط اپل به‌عنوان بخشی از macOS Sequoia 15.2 که ماه گذشته منتشر شد[۳]، برطرف شد. سازنده آیفون آن را به‌عنوان یک “مشکل پیکربندی” توصیف کرد که می‌تواند به یک برنامه مخرب اجازه دهد تا قسمت‌های محافظت‌شده سیستم فایل را تغییر دهد.

جاناتان بار یا از تیم مایکروسافت Threat Intelligence گفت[۴]: «دور زدن SIP می‌تواند منجر به عواقب جدی شود، مانند افزایش پتانسیل برای مهاجمان و نویسندگان بدافزار برای نصب موفقیت‌آمیز روت‌کیت‌ها، ایجاد بدافزار دائمی، دور زدن شفافیت، رضایت و کنترل (TCC) و گسترش سطح حمله برای تکنیک‌ها و اکسپلویت‌های اضافی.»

SIP که rootless نیز نامیده می‌شود، یک چارچوب امنیتی[۵] است که هدف آن جلوگیری از دست‌کاری نرم‌افزارهای مخرب نصب‌شده روی مک در قسمت‌های محافظت‌شده سیستم‌عامل، ازجمله /System، /usr، /bin، /sbin، /var و برنامه‌هایی است که از قبل روی دستگاه نصب‌شده‌اند.

این برنامه با اعمال حفاظت‌های مختلف در برابر حساب کاربری ریشه کار می‌کند و اجازه می‌دهد تا این بخش‌های محافظت‌شده را فقط با فرآیندهایی که توسط اپل امضا شده‌اند و دارای حقوق ویژه برای نوشتن در فایل‌های سیستمی هستند، مانند به‌روزرسانی‌های نرم‌افزار اپل و نصب‌کننده‌های اپل، اصلاح شوند.

دو حق ویژه SIP در زیر آمده است:

  • apple.rootless.install، که محدودیت‌های سیستم فایل SIP را برای فرآیندی با این حق حذف می‌کند.
  • apple.rootless.install.heritable، که محدودیت‌های سیستم فایل SIP را برای یک فرآیند و تمام پردازش‌های فرزند آن با به ارث بردن حق com.apple.rootless.install حذف می‌کند.

CVE-2024-44243 که آخرین دور زدن SIP کشف‌شده توسط مایکروسافت در macOS پس از CVE-2021-30892 یا Shrootless [6] و CVE-2023-32369 یا Migraine[7] است از Storage Kit deemon (storagekitd) com.inrootrootllsta بهره‌برداری می‌کند تا حفاظت SIP را دور بزند.

به‌طور خاص، این امر با استفاده از “توانایی storagekitd برای فراخوانی فرآیندهای دلخواه بدون اعتبارسنجی مناسب یا حذف امتیازات” برای ارائه یک بسته سیستم فایل جدید به /Library/Filesystems – یک فرآیند فرزند storagekitd – و نادیده گرفتن باینری‌های مرتبط با دیسک به دست می‌آید که سپس می‌تواند در طی عملیات خاصی مانند تعمیر دیسک فعال شود.

Bar Or گفت: «ازآنجایی‌که مهاجمی که می‌تواند به‌عنوان ریشه اجرا شود، می‌تواند یک بسته سیستم فایل جدید را به /Library/Filesystems رها کند، بعداً می‌تواند کیت ذخیره‌سازی را برای ایجاد باینری‌های سفارشی راه‌اندازی کند، بنابراین SIP را دور می‌زند. راه‌اندازی عملیات پاک کردن در سیستم فایل جدید ایجادشده می‌تواند محافظت‌های SIP را نیز دور بزند.»

این افشاگری تقریباً سه ماه پس‌ازآن صورت می‌گیرد که مایکروسافت نقص امنیتی دیگری را در چارچوب شفافیت، رضایت و کنترل (TCC) اپل در macOS (CVE-2024-44133، امتیاز ۵٫۵ در CVSS) – با نام HM Surf – که می‌توان برای دسترسی به داده‌های حساس مورد بهره‌برداری قرار داد، ارائه کرد[۸].

Bar Or گفت: «ممنوع کردن اجرای کدهای شخص ثالث در هسته می‌تواند قابلیت اطمینان macOS را افزایش دهد و نتیجه آن کاهش قابلیت‌های نظارت برای راه‌حل‌های امنیتی است.»

“اگر SIP دور زده شود، کل سیستم‌عامل دیگر نمی‌تواند قابل‌اعتماد در نظر گرفته شود و با کاهش دید نظارت، عوامل تهدید می‌توانند راه‌حل‌های امنیتی دستگاه را برای فرار از شناسایی دست‌کاری کنند.”

Jaron Bradley، مدیر Threat Labs در Jamf، گفت SIP همچنان یک هدف مطلوب برای محققان و مهاجمان است و بسیاری از اقدامات امنیتی اپل با این فرض عمل می‌کنند که SIP قابل دور زدن نیست. این همچنین باعث می‌شود که هر بهره‌برداری موفق SIP بسیار مهم باشد.

برادلی افزود: «معمولاً مهاجمان برای فریب دادن کاربران به تعامل با برخی از اعلان‌های سیستم‌عامل به تکنیک‌های مهندسی اجتماعی متکی هستند. بااین‌حال، بهره‌برداری از SIP می‌تواند به مهاجم اجازه دهد تا این دستورات را دور بزند، فایل‌های مخرب را در مناطق محافظت‌شده سیستم مخفی کند و به‌طور بالقوه دسترسی عمیق‌تری به دست آورد. با توجه به اجرای سطح پایین SIP، تنها راه برای کاربران برای محافظت از خود در برابر چنین حملاتی این است که هر زمان که اپل یک اصلاح امنیتی را منتشر می کند، به سرعت سیستم عامل خود را به روز کنند.»

  منابع

[۱] https://developer.apple.com/documentation/security/disabling_and_enabling_system_integrity_protection

[۲] https://www.cve.org/CVERecord?id=CVE-2024-44243

[۳] https://support.apple.com/en-us/121839

[۴] https://www.microsoft.com/en-us/security/blog/2025/01/13/analyzing-cve-2024-44243-a-macos-system-integrity-protection-bypass-through-kernel-extensions

[۵] https://perception-point.io/blog/technical-analysis-cve-2022-22583/

[۶] https://thehackernews.com/2021/10/new-shrootless-bug-could-let-attackers.html

[۷] https://thehackernews.com/2023/05/microsoft-details-critical-apple-macos.html

[۸] https://apa.aut.ac.ir/?p=10717

[۹] https://thehackernews.com/2025/01/microsoft-uncovers-macos-vulnerability.html