近日,微软威胁情报团队披露了一个已修复的macOS安全漏洞(CVE-2024-44243),该漏洞允许以“root”权限运行的攻击者绕过macOS的系统完整性保护(SIP),并加载第三方内核扩展以安装恶意内核驱动程序。苹果已在2024年1月发布的macOS Sequoia 15.2中修复了该漏洞,并将其描述为一个“配置问题”,可能导致恶意应用程序修改受保护的文件系统部分。
漏洞详情与影响
CVE-2024-44243的CVSS评分为5.5,属于中危漏洞。微软研究人员Jonathan Bar Or指出,绕过SIP可能导致严重后果,例如攻击者成功安装Rootkit、创建持久性恶意软件、绕过透明度和同意控制(TCC)框架,并扩大攻击面以实施更多技术和漏洞利用。
SIP(System Integrity Protection,又称“无根”保护)是macOS的安全框架,旨在防止恶意软件篡改操作系统的受保护部分,包括/System、/usr、bin、/sbin、/var以及设备预装的应用程序。SIP通过限制root用户账户的权限,仅允许由苹果签名并具有特殊权限的进程(如苹果软件更新和安装程序)修改这些受保护区域。
漏洞利用机制
CVE-2024-44243是继CVE-2021-30892(Shrootless)和CVE-2023-32369(Migraine)之后,微软在macOS中发现的又一个SIP绕过漏洞。该漏洞利用Storage Kit守护进程(storagekitd)的com.apple.rootless.install.heritable权限绕过SIP保护。
具体而言,攻击者利用storagekitd的能力,在未进行适当验证或降低权限的情况下调用任意进程,将新的文件系统包传递到/Library/Filesystems(storagekitd的子进程),并覆盖与磁盘工具相关的二进制文件。随后,攻击者可以通过触发某些操作(如磁盘修复)来执行自定义二进制文件,从而绕过SIP保护。
潜在风险与攻击场景
微软指出,如果攻击者能够以root权限运行,他们可以将新的文件系统包放置到/Library/Filesystems中,并通过storagekitd触发自定义二进制文件的执行,从而绕过SIP。此外,攻击者还可以通过在新创建的文件系统上触发擦除操作来绕过SIP保护。
Jamf威胁实验室总监Jaron Bradley表示,SIP一直是漏洞研究人员和攻击者的热门目标,苹果的许多安全措施都基于SIP无法被绕过的假设。因此,任何成功的SIP绕过漏洞都具有重要意义。攻击者通常依赖社会工程技术诱使用户与系统提示交互,但如果SIP被绕过,攻击者可以隐藏恶意文件在系统的受保护区域,并可能获得更深层次的访问权限。
如何防范?
-
及时更新操作系统:用户应在苹果发布安全更新后尽快升级至最新版本,以修复已知漏洞。
-
避免以root权限运行未知程序:减少攻击者利用漏洞的机会。
-
启用安全监控工具:使用可靠的安全解决方案监控系统活动,及时发现异常行为。
结语:
CVE-2024-44243的披露再次提醒我们,即使是macOS这样的安全操作系统也可能存在潜在风险。用户应保持警惕,及时更新系统,并采取必要的安全措施,以防止攻击者利用类似漏洞入侵设备。苹果用户应尽快升级至macOS Sequoia 15.2或更高版本,以确保系统安全。
原文始发于微信公众号(技术修道场):微软揭露macOS漏洞CVE-2024-44243:攻击者可绕过SIP安装Rootkit
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论