許多安全公司與大型科技企業(yè)都有自建團(tuán)隊(duì)，旨在發(fā)現(xiàn)軟件中的缺陷和漏洞、與軟件供應(yīng)商私下溝通，然后按照行業(yè)標(biāo)準(zhǔn)流程來發(fā)布修復(fù)程序。與此同時(shí)，以 Google Project Zero 為代表的團(tuán)隊(duì)，也致力于幫助發(fā)現(xiàn)和修補(bǔ)第三方的安全問題。而本文要為大家介紹的，則是微軟在蘋果 macOS 上發(fā)現(xiàn)的“Shrootless”漏洞。

(來自：Microsoft 365 Defender Research Team)

微軟指出，Shrootless 漏洞可被惡意攻擊者利用，以繞過操作系統(tǒng)的系統(tǒng)完整性保護(hù)(SIP)，進(jìn)而執(zhí)行任意代碼。

與此同時(shí)，微軟安全團(tuán)隊(duì)發(fā)現(xiàn)了一種用于提權(quán)的新型攻擊技術(shù)。簡單翻閱該公司的博客文章后，可知問題主要?dú)w咎于“由蘋果簽名、并具有安裝后腳本的軟件包”的安裝方式。

通過創(chuàng)建可劫持安裝過程的自定義軟件包，攻擊者便可利用該機(jī)制來達(dá)成惡意目的。

比如在繞過 SIP 防護(hù)措施后，攻擊者能夠安裝 rootkit 和無法檢測的惡意軟件、甚至覆蓋系統(tǒng)文件而不被 SIP 給阻止。

在某些情況下，軟件包需要訪問受 SIP 保護(hù)的目錄，比如系統(tǒng)更新。

可知蘋果為此類軟件包分配了一些特權(quán)(

com.apple.rootless.install 和 com.apple.rootless.install.inheritable)，但它們同樣也可被利用來繞過 SIP 。

在評估有權(quán)繞過 SIP 保護(hù)的 macOS 進(jìn)程時(shí)，微軟安全團(tuán)隊(duì)發(fā)現(xiàn)了守護(hù)進(jìn)程 system_installd 具有強(qiáng)大的

com.apple.rootless.install.inheritable 權(quán)限。

在此基礎(chǔ)上，攻擊者便可利用 system_installd 的任何子進(jìn)程，來完全繞過 SIP 文件系統(tǒng)限制。

借助 Microsoft Defender for Endpoint 的后入侵組件(post-breach component)，安全團(tuán)隊(duì)決定檢查 system_installd 的所有子進(jìn)程。

結(jié)果讓他們感到十分震驚，因?yàn)槠渲幸恍┛赡茉试S攻擊者濫用、并繞過 SIP 。比如在安裝蘋果簽名的 .pkg 包時(shí)，它就會(huì)調(diào)用 system_installed 并負(fù)責(zé)安裝前者。

但若軟件包中含有任何安裝后腳本，則 system_installd 會(huì)通過調(diào)用默認(rèn) shell(在 macOS 上為 zsh)來運(yùn)行它們。

有趣的是，當(dāng) zsh 啟動(dòng)時(shí)，它會(huì)查找文件 /etc/zshenv 。如果找到，哈輝自動(dòng)從該文件運(yùn)行命令 —— 即使在非交互模式下也是如此。

所以對于潛在的攻擊者來說，他們在設(shè)備上執(zhí)行任意操作的最可靠路徑，就就是創(chuàng)建惡意的 /etc/zshenv 文件，然后等待 system_installd 來調(diào)用 zsh 。

更糟糕的是，微軟還發(fā)現(xiàn) zshenv 可作為通用攻擊模式，而不僅僅是 Shrootless —— 濫用此 shell 或?qū)е绿貦?quán)提升。

慶幸的是，作為協(xié)調(diào)漏洞披露(CVD)流程的一部分，微軟與蘋果私下分享了其調(diào)查結(jié)果。后者承認(rèn)了這個(gè)問題，并于 2021 年 10 月 26 日向公眾發(fā)布了漏洞修復(fù)補(bǔ)丁。

在 macOS Monterey、Catalina 和 Big Sur 的安全補(bǔ)丁說明中，蘋果還強(qiáng)調(diào)了微軟對此做出的貢獻(xiàn)。有關(guān)詳情，還請查看 CVE-2021-30892安全公告。