近日，微軟發(fā)現(xiàn)蘋果macOS系統(tǒng)存在一個(gè)“Shrootless”漏洞(CVE-2021-30892)，攻擊者可以利用該漏洞繞過操作系統(tǒng)的系統(tǒng)完整性保護(hù)(SIP)，進(jìn)而執(zhí)行任意代碼。

[[432360]]

例如在繞過 SIP 防護(hù)措施后，攻擊者能夠安裝 rootkit 和無(wú)法檢測(cè)的惡意軟件、甚至覆蓋系統(tǒng)文件而不被 SIP 給阻止。

系統(tǒng)完整性保護(hù)是蘋果macOS系統(tǒng)中一個(gè)安全功能，最早出現(xiàn)在OS X El Capitan，由很多內(nèi)核強(qiáng)制實(shí)施的機(jī)制構(gòu)成。它的主要功能是保護(hù)系統(tǒng)文件及目錄，以免這些文件及目錄被沒有特定權(quán)限的進(jìn)程修改，包括root用戶或者擁有root權(quán)限的用戶。

微軟安全研究人員(MSVR)表示，攻擊者可以創(chuàng)建一個(gè)特制的文件來劫持安裝過程。

“在蘋果繞過SIP保護(hù)的macOS進(jìn)程時(shí)，我們(微軟安全團(tuán)隊(duì))發(fā)現(xiàn)了守護(hù)進(jìn)程 system_installd 具有強(qiáng)大的 com.apple.rootless.install.inheritable 權(quán)限。獲得這個(gè)權(quán)限之后，攻擊者可利用system_installd的任何子進(jìn)程來繞過SIP文件系統(tǒng)的限制。”

微軟安全研究人員正是通過這一發(fā)現(xiàn)，從而找到了macOS系統(tǒng)完整性保護(hù)漏洞。

隨后，微軟安全研究人員根據(jù)以下算法，進(jìn)行了相關(guān)的POC漏洞測(cè)試，覆蓋內(nèi)核擴(kuò)展排除列表：

• 使用 wget下載一個(gè)有蘋果簽名、并具有安裝后腳本的軟件包;
• 在這個(gè)軟件包中植入 /etc/zshenv 惡意文件來檢查父進(jìn)程;system_installd 會(huì)通過調(diào)用默認(rèn) shell來運(yùn)行它們;
• 通過創(chuàng)建可劫持安裝過程的自定義軟件包，攻擊者便可利用該機(jī)制來達(dá)成惡意目的。

值得慶幸的是，微軟上報(bào)該漏洞后，蘋果公司日前已經(jīng)發(fā)布了該安全漏洞的修復(fù)辦法，相關(guān)補(bǔ)丁已經(jīng)公布。在 macOS Monterey、Catalina 和 Big Sur 的安全補(bǔ)丁說明中，蘋果對(duì)微軟公司表示感謝。