Vulnérabilité macOS CVE-2024-44243

Par Mezo en Problème

Se traduisent par :

Microsoft a révélé une vulnérabilité de sécurité dans le système d'exploitation macOS d'Apple qui, si elle était exploitée, aurait pu permettre à un pirate disposant d'un accès root de contourner la protection de l'intégrité du système (SIP). Cette faille aurait permis l'installation non autorisée de pilotes de noyau corrompus via des extensions de noyau tierces, compromettant considérablement la sécurité du système.

Table des matières

Les détails de CVE-2024-44243

La vulnérabilité, identifiée comme CVE-2024-44243, avait un score de gravité CVSS de 5,5 et était classée comme un problème à risque moyen. Apple a corrigé cette faille dans la mise à jour macOS Sequoia 15.2 le mois dernier. L'entreprise l'a décrite comme un « problème de configuration » qui pourrait permettre à une application non sécurisée de modifier des zones protégées du système de fichiers, affaiblissant ainsi les protections de sécurité de base.

Les risques liés au contournement du protocole SIP

La protection de l'intégrité du système, également connue sous le nom de « rootless », est un mécanisme de sécurité fondamental de macOS conçu pour empêcher les modifications non autorisées des composants critiques du système. En contournant SIP, les attaquants pourraient installer des menaces persistantes telles que des rootkits, échapper au cadre de transparence, de consentement et de contrôle (TCC) d'Apple et ouvrir la porte à une exploitation supplémentaire.

Comment SIP protège macOS

Le protocole SIP fonctionne en appliquant des contrôles d'accès stricts sur les répertoires essentiels, notamment /System, /usr, /bin, /sbin et /var. Il limite les modifications apportées à ces zones aux seuls processus signés par Apple avec des droits spécifiques, tels que les mises à jour de logiciels et les programmes d'installation du système. Cette protection empêche les utilisateurs et les attaquants de falsifier les fonctionnalités principales de macOS.

Droits SIP : une arme à double tranchant

Apple fournit deux droits SIP clés qui régulent les modifications :

com.apple.rootless.install : accorde l'autorisation de contourner les restrictions du système de fichiers SIP pour un processus spécifique.
com.apple.rootless.install.heritable : étend l'autorisation de contournement au processus et à tous ses processus enfants.

L’exploitation de ces droits pourrait permettre aux attaquants de contourner les protections SIP, ce qui en fait un problème de sécurité critique.

L'exploit : comment les attaquants pourraient contourner le protocole SIP

Le contournement SIP récemment découvert, similaire aux exploits passés comme CVE-2021-30892 (Shrootless) et CVE-2023-32369 (Migraine), exploite le droit « com.apple.rootless.install.heritable » dans le démon Storage Kit de macOS (storagekitd).

En abusant de la capacité de storagekitd à lancer des processus arbitraires sans validation, les attaquants pourraient introduire un ensemble de systèmes de fichiers menaçants dans /Library/Filesystems. Cela leur permettrait de remplacer les binaires liés à l'utilitaire de disque de macOS, déclenchant une attaque lors d'opérations telles que la réparation de disque. De plus, un utilisateur root pourrait exploiter cette faille pour exécuter du code non autorisé, contournant ainsi entièrement les protections SIP.

Les conclusions de Microsoft en matière de sécurité

Cette découverte fait suite à un précédent rapport de Microsoft sur une autre vulnérabilité de macOS dans le cadre Transparency, Consent, and Control (TCC) (CVE-2024-44133, alias HM Surf). Cette faille, avec le même score CVSS de 5,5, aurait pu être exploitée pour accéder à des données utilisateur sensibles. Le ciblage répété des mesures de sécurité de macOS souligne la nécessité d'une vigilance et d'une mise à jour continues des correctifs.

Vue d’ensemble : pourquoi le protocole SIP est important

En limitant les extensions de noyau tierces, Apple améliore la stabilité et la sécurité de macOS. Cependant, le contournement du protocole SIP compromet ces protections, rendant le système vulnérable aux menaces avancées. Si le protocole SIP est désactivé, les solutions de sécurité peuvent également perdre en visibilité, ce qui permet aux attaquants de manipuler ou de désactiver les outils de sécurité sans se faire remarquer.

Une cible de choix pour les attaquants

Le protocole SIP reste une cible de grande valeur pour les chercheurs en sécurité et les acteurs malveillants. De nombreuses défenses de sécurité d'Apple supposent que le protocole SIP ne peut pas être contourné, ce qui fait de toute exploitation une avancée significative. Des attaques réussies pourraient permettre aux pirates de placer des fichiers malveillants dans des répertoires protégés, de masquer l'activité des outils de sécurité et de contourner complètement les invites de sécurité de macOS.

Rester protégé : pourquoi les mises à jour sont essentielles

Les pirates informatiques sont connus pour utiliser des tactiques d'ingénierie sociale pour manipuler les utilisateurs et les amener à accorder des autorisations inutiles. Cependant, une exploitation du protocole SIP pourrait éliminer complètement le besoin d'interaction avec l'utilisateur. Étant donné le rôle fondamental du protocole SIP dans la sécurité de macOS, la meilleure défense contre de telles vulnérabilités est de s'assurer que macOS est toujours à jour. L'installation des correctifs de sécurité d'Apple dès leur publication est le moyen le plus efficace d'empêcher les pirates d'exploiter ces failles.

SpyHunter pour Windows d'EnigmaSoft a obtenu la certification AV-TEST

Rechercher

Changer de région