Microsoft Uncovers macOS Vulnerability CVE-2024-44243 Allowing Rootkit Installation
- 취약점 개요
- CVE-2024-44243: 중간 심각도(CVSS 5.5) 취약점으로, macOS의 시스템 무결성 보호(SIP) 우회 가능
- 취약점을 통해 공격자가 루트 권한으로 보호된 파일 시스템을 수정하고 루트킷 및 악성 커널 확장을 설치 가능
- Apple은 macOS Sequoia 15.2에서 해당 취약점을 패치
- SIP(SIP) 및 공격 방식
- SIP는 macOS에서 루트 계정을 제한하여 /System, /usr 등 보호된 파일 시스템 영역을 보호
- SIP는 Apple 서명 프로세스 및 특정 권한(com.apple.rootless.install, com.apple.rootless.install.heritable)을 가진 프로세스만이 파일 시스템을 수정할 수 있도록 제한
- storagekitd 데몬의 잘못된 검증 및 권한 유지 능력을 악용해 보호된 파일 시스템 영역에 악성 파일 시스템 번들 추가 가능
- Disk Utility 등의 운영 중 악성 바이너리를 실행해 SIP 보호 우회
- 취약점의 영향
- 루트킷 설치 및 지속적인 악성코드 실행
- 투명성, 동의 및 제어(TCC) 프레임워크 우회 가능성 증가
- 보안 솔루션 탐지를 방해하여 운영 체제 신뢰성 손상
- 사용자 프롬프트를 우회하여 악성 파일을 숨기고 민감 영역에 접근 가능
- 기존 유사 취약점 사례
- CVE-2021-30892 (Shrootless): SIP 우회를 통해 파일 시스템 접근 가능
- CVE-2023-32369 (Migraine): SIP 취약점을 악용해 파일 시스템 조작
- CVE-2024-44133 (HM Surf): TCC 프레임워크를 우회해 민감 데이터 접근
- 보안 권고
- 운영 체제 업데이트: Apple이 제공하는 최신 보안 패치를 즉시 설치
- SIP 상태 확인: 터미널 명령(
csrutil status)을 통해 SIP 활성 상태 확인 - 보안 인식 강화: 사회공학적 기법을 이용한 악성 활동에 대해 사용자 경각심 고취
- 보안 솔루션 모니터링: 지속적인 업데이트 및 고급 탐지 기능 사용
- 결론
- SIP는 macOS 보안의 핵심 요소로, 우회 시 시스템 신뢰성이 심각하게 손상됨
- 사용자는 Apple의 보안 업데이트를 즉각 적용하여 잠재적 위협을 예방
- 공격자의 악용 가능성을 줄이기 위해 지속적인 취약점 관리와 사용자 교육이 필요
'Kant's IT > Vulnerability' 카테고리의 다른 글
| 포티넷 방화벽 취약점 'CVE-2024-55591' 악용 공격 및 데이터 유출 (0) | 2025.01.24 |
|---|---|
| macOS 시스템 무결성 보호(SIP) 우회 취약점 CVE-2024-44243 분석 (0) | 2025.01.23 |
| Aviatrix Controller 치명적 취약점 악용으로 클라우드 환경 공격 증가 (0) | 2025.01.23 |
| Howyar Reloader UEFI 부트로더의 서명되지 않은 소프트웨어 실행 취약점 (0) | 2025.01.23 |
| SAP NetWeaver 및 주요 플랫폼의 치명적 취약점 패치 발표 (0) | 2025.01.23 |