微软披露了苹果 macOS 最近修补的一个安全漏洞,该漏洞被确定为 CVE-2024-44243,这可能允许以 root 权限操作的攻击者绕过系统完整性保护(啜饮)并通过第三方内核扩展安装恶意内核驱动程序。
微软披露 macOS 漏洞允许 SIP 绕过
该漏洞的 CVSS 评分为 5.5,严重程度为中等,Apple 在上个月发布的 macOS Sequoia 15.2 中已解决该漏洞。苹果将该问题归类为“配置问题”,可能使恶意应用程序能够更改文件系统的受保护区域。
微软威胁情报团队的 Jonathan Bar Or 表示”,“绕过 SIP 可能会导致严重后果,例如增加攻击者和恶意软件作者成功安装 rootkit、创建持久性恶意软件、绕过透明、同意和控制 (TCC) 的可能性,以及扩大其他技术和漏洞的攻击面。 ”
SIP(也称为 rootless)作为一个安全框架,可防止恶意软件篡改 macOS 的基本组件,包括 /System、/usr、/bin、/sbin、/var 等目录和预安装的应用程序。 SIP 对 root 帐户强制执行严格的权限,仅允许通过 Apple 签名的进程(包括 Apple 软件更新)对这些区域进行修改。
与 SIP 相关的两个关键权利是:com.apple.rootless.install(允许进程绕过 SIP 的文件系统限制)和 com.apple.rootless.install.heritable(将相同的能力扩展到初始进程的所有子进程)。过程。
CVE-2024-44243 的利用利用存储套件守护程序 (storagekitd) 功能中的“com.apple.rootless.install.heritable”权限来规避 SIP。攻击者可以利用 storagekitd 的功能来调用任意进程,而无需进行充分的检查,从而在 /Library/Filesystems 中引入新的文件系统捆绑包,从而导致与磁盘实用程序链接的二进制文件发生更改。这可以在磁盘修复等操作期间激活。
Bar Or 详细阐述道:“由于能够以 root 身份运行的攻击者可以将新的文件系统捆绑包放到 /Library/Filesystems 中,因此他们稍后可以触发 storagekitd 生成自定义二进制文件,从而绕过 SIP。在新创建的文件系统上触发擦除操作也可以绕过 SIP 保护。”
此前,微软发布了一份报告,详细介绍了 macOS TCC 框架中的另一个漏洞,该漏洞被追踪为 CVE-2024-44133,这也存在用户数据安全的风险。 Bar Or 指出,虽然 SIP 增强了 macOS 的可靠性,但它同时限制了安全解决方案的监督能力。
Jamf 威胁实验室主任 Jaron Bradley 强调了 SIP 的重要性,表示它是研究人员和攻击者的主要目标,因为 Apple 的许多安全协议都以 SIP 为基础,无法受到攻击。 “利用 SIP 可以让攻击者绕过这些提示,将恶意文件隐藏在系统的受保护区域中,并有可能获得更深入的访问权限,”他补充道。
我们敦促网络安全专业人员保持 macOS 系统最新,因为最新补丁解决了这一关键漏洞,该漏洞已在 12 月 11 日的 Apple 安全更新中得到解决。如果没有 SIP,攻击者即使没有物理访问计算机,也可以在不被发现的情况下部署 rootkit 或持久性恶意软件。
专家建议安全团队警惕地监控可能规避 SIP 的具有特殊权限的进程。 Qualys 安全研究经理 Mayuresh Dani 建议“团队应主动监控具有特殊权限的流程,因为这些流程可能会被利用来绕过 SIP。”
此外,应监控异常磁盘管理活动和非典型特权用户行为,以增强针对此类攻击的安全性。正如 CVE-2024-44243 等漏洞所示,组织应谨慎管理第三方内核扩展,仅在绝对必要时启用它们,并辅以严格的监控协议。
微软发现的漏洞不仅展示了安全问题的连续性,还凸显了 macOS 中存在的漏洞,例如最近检测到的“女妖” infostealer 恶意软件,据报道由于加密算法被盗而逃避了苹果的防病毒措施。
Microsoft 的分析表明,这一特定缺陷源自 Storage Kit 守护程序在监督磁盘操作方面的作用,允许通过在第三方文件系统(包括 Tuxera、Paragon、EaseUS 和 iBoysoft)中嵌入自定义代码来利用该漏洞。
特色图片来源: 萨博·维克托/Unsplash
