该漏洞影响 Apple macOS 操作系统,特别是 System Integrity Protection (SIP) 机制。SIP 是 macOS 上的一项安全防护功能,旨在保护系统核心文件和目录(如 /System、/usr、/bin 等)不受恶意软件或未经授权的修改。即使攻击者拥有 root 权限,SIP 也会限制对这些受保护部分的访问。
01 漏洞描述
漏洞类型:SIP 绕过漏洞允许攻击者在 macOS 上安装 Rootkit(CVE-2024-44243)
CVSS:5.5
-
漏洞存在于 macOS 中的 Storage Kit 守护进程(storagekitd),该进程使用了 com.apple.rootless.install.heritable 权限,允许绕过 SIP 保护。 -
具体利用方式是攻击者通过该权限能够绕过 SIP 的限制,修改和覆盖系统文件。例如,攻击者可以将恶意文件系统包注入到 /Library/Filesystems 目录,然后利用 storagekitd 进程触发这些恶意二进制文件。
-
这些恶意二进制文件可以用来执行特定操作,例如 磁盘修复,并在过程中绕过 SIP 保护机制。
-
漏洞的利用者一旦能够获得 root 权限,就可以通过修改文件系统、注入恶意代码,进而绕过 SIP 实现持久的控制,安装 rootkit 或其他恶意驱动程序,甚至在操作系统重启后仍然保持存在。
02 漏洞影响范围
受影响版本:
03 漏洞修复方案
更新至最新版本
Apple 已在 macOS Sequoia 15.2 中修复了此漏洞,建议所有用户尽快将系统更新到该版本或更高版本,以解决该漏洞带来的风险。
提高权限管理和安全配置
禁止不必要的 root 权限,限制对系统关键部分的访问。
在使用管理员账户时,确保只有经过验证的、信任的程序能够执行系统级操作。
加强对系统文件的保护
除了启用 SIP 外,还可以考虑使用额外的安全措施,如 全盘加密、防火墙、实时监控 等。
监控和检测
使用安全软件和工具进行持续的漏洞扫描和入侵检测,特别是针对 SIP 绕过、恶意驱动程序和内核级别的攻击。
定期检查安全更新
用户应定期检查 Apple 提供的安全更新,并在有漏洞修复时立即进行安装,以避免受到类似攻击。
04 参考链接
https://finance.sina.com.cn/tech/roll/2025-01-14/doc-ineexptv1089726.shtml
END
原文始发于微信公众号(锋刃科技):SIP 绕过漏洞允许攻击者在 macOS 上安装 Rootkit(CVE-2024-44243)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论