微軟近日披露了一個已修復(fù)的macOS安全漏洞，該漏洞如果被成功利用，可能允許以"root"權(quán)限運(yùn)行的攻擊者繞過操作系統(tǒng)的系統(tǒng)完整性保護(hù)（SIP），并通過加載第三方內(nèi)核擴(kuò)展來安裝惡意內(nèi)核驅(qū)動程序。

該漏洞編號為CVE-2024-44243（CVSS評分：5.5），屬于中等嚴(yán)重性漏洞，蘋果公司已在上個月發(fā)布的macOS Sequoia 15.2中修復(fù)了該漏洞。蘋果公司將其描述為一個"配置問題"，可能允許惡意應(yīng)用程序修改文件系統(tǒng)的受保護(hù)部分。

微軟威脅情報團(tuán)隊的Jonathan Bar Or表示："繞過SIP可能導(dǎo)致嚴(yán)重后果，例如增加攻擊者和惡意軟件作者成功安裝rootkit、創(chuàng)建持久性惡意軟件、繞過透明度、同意和控制（TCC）的可能性，并為其他技術(shù)和漏洞利用擴(kuò)大攻擊面。"

SIP，也稱為rootless，是一個安全框架，旨在防止安裝在Mac上的惡意軟件篡改操作系統(tǒng)的受保護(hù)部分，包括/System、/usr、/bin、/sbin、/var以及設(shè)備上預(yù)裝的應(yīng)用程序。

它通過對root用戶賬戶強(qiáng)制執(zhí)行各種保護(hù)措施來工作，只允許由蘋果簽名并具有寫入系統(tǒng)文件特殊權(quán)限的進(jìn)程（如蘋果軟件更新和蘋果安裝程序）修改這些受保護(hù)部分。

與SIP相關(guān)的兩個權(quán)限如下：

• com.apple.rootless.install，該權(quán)限為具有此權(quán)限的進(jìn)程解除SIP的文件系統(tǒng)限制
• com.apple.rootless.install.heritable，該權(quán)限通過繼承com.apple.rootless.install權(quán)限，為進(jìn)程及其所有子進(jìn)程解除SIP的文件系統(tǒng)限制

CVE-2024-44243是微軟在macOS中發(fā)現(xiàn)的最新SIP繞過漏洞，此前還有CVE-2021-30892（Shrootless）和CVE-2023-32369（Migraine）。該漏洞利用存儲守護(hù)進(jìn)程（storagekitd）的"com.apple.rootless.install.heritable"權(quán)限來繞過SIP保護(hù)。

具體來說，這是通過利用"storagekitd在沒有適當(dāng)驗(yàn)證或降低權(quán)限的情況下調(diào)用任意進(jìn)程的能力"，將新的文件系統(tǒng)包傳遞到/Library/Filesystems（storagekitd的子進(jìn)程），并覆蓋與磁盤工具相關(guān)的二進(jìn)制文件來實(shí)現(xiàn)的，這些二進(jìn)制文件隨后可以在某些操作（如磁盤修復(fù)）中被觸發(fā)。

Bar Or表示："由于以root權(quán)限運(yùn)行的攻擊者可以將新的文件系統(tǒng)包放入/Library/Filesystems，他們隨后可以觸發(fā)storagekitd生成自定義二進(jìn)制文件，從而繞過SIP。在新創(chuàng)建的文件系統(tǒng)上觸發(fā)擦除操作也可以繞過SIP保護(hù)。"

此次披露距離微軟詳細(xì)說明蘋果macOS中透明度、同意和控制（TCC）框架的另一個安全漏洞（CVE-2024-44133，CVSS評分：5.5，又名HM Surf）已有近三個月，該漏洞可能被利用來訪問敏感數(shù)據(jù)。

Bar Or表示："禁止第三方代碼在內(nèi)核中運(yùn)行可以提高macOS的可靠性，但代價是降低了安全解決方案的監(jiān)控能力。如果SIP被繞過，整個操作系統(tǒng)將不再可靠，并且隨著監(jiān)控可見性的降低，威脅行為者可以篡改設(shè)備上的任何安全解決方案以逃避檢測。"