微软近日披露了一个已修复的macOS安全漏洞,该漏洞如果被成功利用,可能允许以"root"权限运行的攻击者绕过操作系统的系统完整性保护(SIP),并通过加载第三方内核扩展来安装恶意内核驱动程序。
该漏洞编号为CVE-2024-44243(CVSS评分:5.5),属于中等严重性漏洞,苹果公司已在上个月发布的macOS Sequoia 15.2中修复了该漏洞。苹果公司将其描述为一个"配置问题",可能允许恶意应用程序修改文件系统的受保护部分。
微软威胁情报团队的Jonathan Bar Or表示:"绕过SIP可能导致严重后果,例如增加攻击者和恶意软件作者成功安装rootkit、创建持久性恶意软件、绕过透明度、同意和控制(TCC)的可能性,并为其他技术和漏洞利用扩大攻击面。"
SIP,也称为rootless,是一个安全框架,旨在防止安装在Mac上的恶意软件篡改操作系统的受保护部分,包括/System、/usr、/bin、/sbin、/var以及设备上预装的应用程序。
它通过对root用户账户强制执行各种保护措施来工作,只允许由苹果签名并具有写入系统文件特殊权限的进程(如苹果软件更新和苹果安装程序)修改这些受保护部分。
与SIP相关的两个权限如下:
- com.apple.rootless.install,该权限为具有此权限的进程解除SIP的文件系统限制
- com.apple.rootless.install.heritable,该权限通过继承com.apple.rootless.install权限,为进程及其所有子进程解除SIP的文件系统限制
CVE-2024-44243是微软在macOS中发现的最新SIP绕过漏洞,此前还有CVE-2021-30892(Shrootless)和CVE-2023-32369(Migraine)。该漏洞利用存储守护进程(storagekitd)的"com.apple.rootless.install.heritable"权限来绕过SIP保护。
具体来说,这是通过利用"storagekitd在没有适当验证或降低权限的情况下调用任意进程的能力",将新的文件系统包传递到/Library/Filesystems(storagekitd的子进程),并覆盖与磁盘工具相关的二进制文件来实现的,这些二进制文件随后可以在某些操作(如磁盘修复)中被触发。
Bar Or表示:"由于以root权限运行的攻击者可以将新的文件系统包放入/Library/Filesystems,他们随后可以触发storagekitd生成自定义二进制文件,从而绕过SIP。在新创建的文件系统上触发擦除操作也可以绕过SIP保护。"
此次披露距离微软详细说明苹果macOS中透明度、同意和控制(TCC)框架的另一个安全漏洞(CVE-2024-44133,CVSS评分:5.5,又名HM Surf)已有近三个月,该漏洞可能被利用来访问敏感数据。
Bar Or表示:"禁止第三方代码在内核中运行可以提高macOS的可靠性,但代价是降低了安全解决方案的监控能力。如果SIP被绕过,整个操作系统将不再可靠,并且随着监控可见性的降低,威胁行为者可以篡改设备上的任何安全解决方案以逃避检测。"
