“Migraine” adı verilen yeni bir güvenlik açığı, macOS göçüyle ilişkilendirilmiş ve ciddi bir tehdit oluşturuyor.
Bu açık, saldırganlara kök erişim izinleriyle birlikte macOS’ta bulunan Sistem Bütünlüğü Koruması’nı (SIP) atlatma imkanı veriyor ve bu da etkilenen cihaz üzerinde sınırsız kontrol sağlıyor.
Microsoft Tehdit İstihbaratı tarafından tespit edilen “Migraine” adlı güvenlik açığı, hızla Apple’a bildirildi. Açığa CVE-2023-32369 takip numarası verildi.
Apple, 18 Mayıs 2023 tarihinde yayımladığı güvenlik güncellemeleriyle bu açığı giderdi.
Kullanıcılar, potansiyel riskleri azaltmak için bu güncellemeleri hemen yükleyerek sistemlerini koruyabilirler.
Sistem Bütünlüğü Koruması Atlaması Sistem Bütünlüğü Koruması (SIP), macOS için önemli bir güvenlik önlemi olarak görev yapıyor ve kök kullanıcının sistemin bütünlüğünü riske atabilecek herhangi bir eylemi engelliyor.
Ancak SIP atlama durumunda şu ciddi sonuçlar ortaya çıkabiliyor:
- Kök kitleri yükleme
- Kalıcı kötü amaçlı yazılımlar oluşturma
- Saldırı yüzeyini genişletme
SIP’nin temel prensibi, macOS tarafından imzalanmış veya belirli yetkilere sahip işlemler tarafından sınırlı şekilde macOS bileşenlerinde değişiklik yapılmasına izin vermek. Bu yaklaşım, yalnızca güvenilir ve yetkilendirilmiş kişilerin kritik sistem bileşenlerine değişiklik yapabilmesini sağlıyor.
Microsoft araştırmacıları, kök erişim izinlerine sahip saldırganların, macOS Göç Yardımcısı aracılığıyla SIP güvenlik önlemlerini atlatma yeteneğine sahip olduklarını keşfetti. Bu araç, “systemmigrationd daemon” üzerinde çalışıyor ve com.apple.rootless.install.heritable yetkisine sahip olarak SIP’yi atlatabiliyor. Ancak SIP’nin devre dışı bırakılması, sistemin yeniden başlatılmasını ve macOS Kurtarma’ya erişimi gerektiriyor, bu da tehlikeye atılan bir cihaza fiziksel erişim sağlanmasını gerektiriyor.
SIP koruması atlatıldığında, Sistem Bütünlüğü Koruması’nın güvenlik önlemlerinin yanı sıra Şeffaflık, Rıza ve Kontrol (TCC) politikalarını da geçerek kurbanın özel verilerine sınırsız erişim sağlanıyor.
Siber tehdit aktörleri, bu açığı kullanarak TCC veritabanlarını değiştirerek kontrol mekanizmalarını tamamen atlatabilir ve hassas bilgilere yetkisiz erişim elde edebilirler.
Microsoft araştırmacıları, daha önce 2021 yılında keşfettikleri Shrootless adlı bir SIP atlama yönteminden sonra macOS’ta başka bir güvenlik açığı daha buldular.
Bu açığı kullanarak siber tehdit aktörleri, etkilenen Mac’lere erişebilir ve kök ayrıcalıklarını yükselterek kök kitleri ve diğer yasadışı faaliyetler gerçekleştirebilirler.
Sonuçlar
SIP’nin keyfi olarak atlatılması, kötü amaçlı yazılım yazarları için ciddi sonuçlar doğurur.
SIP’nin atlatılabilmesi, şu gibi ciddi sonuçlara yol açabilir:
- Silinemeyen kötü amaçlı yazılımlar oluşturma
- Kullanıcı alanı ve çekirdek saldırgan tekniklerinin saldırı yüzeyini genişletme
- Sistemin bütünlüğüyle oynamak ve kök kitleri etkinleştirmek
- Tam TCC atlatma.
Bu gibi keyfi SIP atlamaları, kötü niyetli aktörlere kötü amaçlı yazılım oluşturma ve sistemi etkileyen ciddi güvenlik açıkları yaratma gibi geniş fırsatlar sunar. Bu nedenle, kullanıcılar güvenlik güncellemelerini düzenli olarak yükleyerek ve sistemlerini güncel tutarak potansiyel riskleri en aza indirmelidirler.
Bu keşfedilen “Migraine” güvenlik açığı, macOS kullanıcıları için ciddi bir tehdit oluşturuyor. Sistem Bütünlüğü Koruması’nın (SIP) atlatılmasına izin veren bu açık, saldırganlara etkilenen cihazlar üzerinde sınırsız kontrol imkanı sağlıyor. Özellikle macOS Göç Yardımcısı aracılığıyla bu açığı kullanarak kök erişim izinlerine sahip olan saldırganlar, sisteme zararlı yazılımlar yerleştirebilir ve kullanıcının özel verilerine yetkisiz erişim elde edebilir.
Bu keşif, Microsoft Tehdit İstihbaratı tarafından yapıldı ve hızla Apple’a bildirildi. Apple, güvenlik güncellemeleriyle bu açığı gidermeye yönelik adımlar attı ve kullanıcıların sistemi güncellemeleriyle korunmalarını sağladı.
Bu haberi yorumlarken, kullanıcıların güvenlik önlemlerine dikkat etmeleri ve güncellemeleri zamanında yüklemeleri önemlidir. Sistem Bütünlüğü Koruması, macOS kullanıcılarının cihazlarını korumak için önemli bir bileşendir ve bu tür güvenlik açıklarının tespit edilmesi ve düzeltilmesi, kullanıcıların güvenli bir çevrede kalmalarına yardımcı olur.
Ancak, bu tür güvenlik açıklarının ortaya çıkması, saldırganların sürekli olarak yeni yollar aradığını ve gelişmiş saldırı tekniklerini kullandığını göstermektedir. Bu nedenle, kullanıcılar sadece güncellemeleri takip etmekle kalmayıp, güvenlik bilincini artırmak, güçlü parolalar kullanmak, güvenilir kaynaklardan yazılım indirmek gibi önlemleri de almalıdır.
Sonuç olarak, “Migraine” adı verilen bu güvenlik açığı, macOS kullanıcılarının dikkatli olmalarını gerektiren önemli bir tehdittir. Kullanıcıların güncellemeleri düzenli olarak kontrol etmeleri ve güvenlik önlemlerini artırmaları, bu tür saldırılardan korunmaları için önemlidir. Ayrıca, Apple gibi şirketlerin bu tür açıkları hızlı bir şekilde ele alması ve güncellemelerle düzeltmeler yapması, kullanıcıların güvenliklerini sağlamak adına önemli bir adımdır.