苹果最近修复了一个由微软报告的漏洞,拥有root权限的攻击者可以利用该漏洞绕过系统完整性保护(SIP),安装“无法删除”的恶意软件,并绕过TCC安全检查来访问受害者的私人数据。
微软安全研究小组发现并向苹果报告了这一漏洞(Migraine),目前被追踪为CVE-2023-32369。
苹果已在两周前的5月18日发布的macOS Ventura 13.4、macOS Monterey 12.6.6和macOS Big Sur 11.7.7安全更新中修复了该漏洞。
系统完整性保护(SIP),也称为“rootless”,是一种macOS安全机制,通过在操作系统的受保护区域内对root用户帐户及其功能施加限制,防止潜在的恶意软件更改某些文件夹和文件。
SIP的运作原则是,只有苹果签署或拥有特殊权利的进程(如苹果软件更新和安装程序)才有权更改受macOS保护的组件。
同样要注意的是,在不重新启动系统并启动macOS Recovery(内置恢复系统)的情况下,没有任何方法可以禁用SIP,这需要对已经受损的设备进行物理访问。
然而,微软的研究人员发现,拥有root权限的攻击者可以通过滥用macOS迁移助手实用程序绕过SIP安全实施。
研究人员证明,拥有root权限的攻击者可以用AppleScript自动完成迁移过程,并在将其添加到SIP的排除列表后启动恶意负载,而无需重启系统和从macOS Recovery启动。
微软威胁情报团队表示,“通过关注由苹果公司签署并具有 com.apple.rootless.install.heritable 权利的系统进程,我们发现了两个可以被篡改的子进程,以便在绕过SIP检查的安全上下文中获得任意代码执行。”
任意绕过SIP会带来极大风险,尤其是在被恶意软件利用时,因为它可以使恶意代码产生深远的影响,包括创建无法通过标准删除方法删除的受SIP保护的恶意软件。它还会极大地扩大攻击面,可能允许攻击者通过任意内核代码执行来篡改系统完整性,并可能安装rootkit以隐藏安全软件中的恶意进程和文件。
绕过SIP保护还可以完全绕过TCC策略,使威胁行为者能够替换TCC数据库并获得对受害者私人数据的无限制访问权限。
https://www.bleepingcomputer.com/news/security/microsoft-finds-macos-bug-that-lets-hackers-bypass-sip-root-restrictions/
原文始发于微信公众号(360漏洞研究院):行业资讯|微软发现 macOS 漏洞可让攻击者绕过 SIP root 限制
评论