微软发现绕过苹果 SIP 根限制的 macOS 漏洞

该漏洞的编号是CVE-2023-32369，由微软安全研究团队发现并报告给苹果公司。苹果已在5月18日发布的 macOS Ventura 13.4、macOS Monterey 12.6.6和macOS Big Sur 11.7.7 安全更新中修复了该漏洞。

SIP又被称为 “rootless”，它是一种 macOS 安全机制，可通过在根用户账户上添加限制的方式，在操作系统的受保护区域内，阻止潜在的恶意软件修改某些文件夹和文件。SIP 的运行原则是，仅由苹果或由处理特殊权限如苹果软件更新和安装工具签名的进程应当被授权修改受 macOS 保护的组件。

还有一点需要注意的是，目前并不存在无需重启系统和启动 macOS Recovery（内置恢复系统）来禁用 SIP 的方法。MacOS Recovery 要求物理访问已遭攻陷的设备。

然而，微软公司的研究人员发现，具有根权限的攻击者可滥用 macOS 迁移助手工具绕过 SIP 安全执行。MacOS 迁移助手工具是一款内置的 macOS app，使用绕过源自 com.apple.rootless.install.heritable 权限的SIP能力的 systemmigrateiond 守护进程。

安全研究人员演示称，具有 root 权限的攻击者可通过 AppleScript 自动化缓解进程并在将其添加到 SIP 的例外清单后启动恶意 payload，而无需重启系统和从 macOS Recovery 进行引导。

微软威胁情报团队表示，“通过关注由苹果签名的系统进程以及 com.apple.rootless.install.heritable 权限，我们发现两个子进程可在绕过 SIP 检查的安全上下文中获得任意代码执行权限。”

任意 SIP 绕过具有重大风险，尤其是在被恶意创建人员利用时更是如此，原因在于绕过可使恶意代码造成深远影响，如创建无法通过标准删除方法删除的受 SIP 保护的恶意软件。

绕过也极大地扩展了攻击面并导致攻击者通过任意内核代码执行的方式篡改系统完整性，并可能安装 rootkit，隐藏恶意进程和文件，从而躲避安全软件检测。

绕过 SIP 防护还可使透明度同意和管控 (TCC) 策略被完全绕过，从而导致威胁行动者替换 TCC 数据库并获得对受害者私密数据不受限制的访问权限。

这并非微软研究人员近年来发现的首个 macOS 漏洞，另外一个 SIP 绕过 Shrootless 在2021年出现，可使攻击者在受陷 Mac 上执行任意操作，将权限提升至 root 级别并可能在易受攻击设备上安装 rootkit。

最近，微软首席安全研究员 Jonathan Bar Or 还发现了被称为 Achilles 的安全漏洞。攻击者可通过能够绕过 Gatekeeper 执行限制的不可信应用部署恶意软件。他还发现了另一款 macOS 漏洞 powerdir，可导致攻击者绕过 TCC 技术访问用户的受保护数据。

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~