微軟近日披露了一個(gè)已修復(fù)的macOS安全漏洞，該漏洞如果被成功利用，可能允許以"root"權(quán)限運(yùn)行的攻擊者繞過(guò)操作系統(tǒng)的系統(tǒng)完整性保護(hù)（SIP），并通過(guò)加載第三方內(nèi)核擴(kuò)展來(lái)安裝惡意內(nèi)核驅(qū)動(dòng)程序。

該漏洞編號(hào)為CVE-2024-44243（CVSS評(píng)分：5.5），屬于中等嚴(yán)重性漏洞，蘋(píng)果公司已在上個(gè)月發(fā)布的macOS Sequoia 15.2中修復(fù)了該漏洞。蘋(píng)果公司將其描述為一個(gè)"配置問(wèn)題"，可能允許惡意應(yīng)用程序修改文件系統(tǒng)的受保護(hù)部分。

微軟威脅情報(bào)團(tuán)隊(duì)的Jonathan Bar Or表示："繞過(guò)SIP可能導(dǎo)致嚴(yán)重后果，例如增加攻擊者和惡意軟件作者成功安裝rootkit、創(chuàng)建持久性惡意軟件、繞過(guò)透明度、同意和控制（TCC）的可能性，并為其他技術(shù)和漏洞利用擴(kuò)大攻擊面。"

SIP，也稱為rootless，是一個(gè)安全框架，旨在防止安裝在Mac上的惡意軟件篡改操作系統(tǒng)的受保護(hù)部分，包括/System、/usr、/bin、/sbin、/var以及設(shè)備上預(yù)裝的應(yīng)用程序。

它通過(guò)對(duì)root用戶賬戶強(qiáng)制執(zhí)行各種保護(hù)措施來(lái)工作，只允許由蘋(píng)果簽名并具有寫(xiě)入系統(tǒng)文件特殊權(quán)限的進(jìn)程（如蘋(píng)果軟件更新和蘋(píng)果安裝程序）修改這些受保護(hù)部分。

與SIP相關(guān)的兩個(gè)權(quán)限如下：

• com.apple.rootless.install，該權(quán)限為具有此權(quán)限的進(jìn)程解除SIP的文件系統(tǒng)限制
• com.apple.rootless.install.heritable，該權(quán)限通過(guò)繼承com.apple.rootless.install權(quán)限，為進(jìn)程及其所有子進(jìn)程解除SIP的文件系統(tǒng)限制

CVE-2024-44243是微軟在macOS中發(fā)現(xiàn)的最新SIP繞過(guò)漏洞，此前還有CVE-2021-30892（Shrootless）和CVE-2023-32369（Migraine）。該漏洞利用存儲(chǔ)守護(hù)進(jìn)程（storagekitd）的"com.apple.rootless.install.heritable"權(quán)限來(lái)繞過(guò)SIP保護(hù)。

具體來(lái)說(shuō)，這是通過(guò)利用"storagekitd在沒(méi)有適當(dāng)驗(yàn)證或降低權(quán)限的情況下調(diào)用任意進(jìn)程的能力"，將新的文件系統(tǒng)包傳遞到/Library/Filesystems（storagekitd的子進(jìn)程），并覆蓋與磁盤(pán)工具相關(guān)的二進(jìn)制文件來(lái)實(shí)現(xiàn)的，這些二進(jìn)制文件隨后可以在某些操作（如磁盤(pán)修復(fù)）中被觸發(fā)。

Bar Or表示："由于以root權(quán)限運(yùn)行的攻擊者可以將新的文件系統(tǒng)包放入/Library/Filesystems，他們隨后可以觸發(fā)storagekitd生成自定義二進(jìn)制文件，從而繞過(guò)SIP。在新創(chuàng)建的文件系統(tǒng)上觸發(fā)擦除操作也可以繞過(guò)SIP保護(hù)。"

此次披露距離微軟詳細(xì)說(shuō)明蘋(píng)果macOS中透明度、同意和控制（TCC）框架的另一個(gè)安全漏洞（CVE-2024-44133，CVSS評(píng)分：5.5，又名HM Surf）已有近三個(gè)月，該漏洞可能被利用來(lái)訪問(wèn)敏感數(shù)據(jù)。

Bar Or表示："禁止第三方代碼在內(nèi)核中運(yùn)行可以提高macOS的可靠性，但代價(jià)是降低了安全解決方案的監(jiān)控能力。如果SIP被繞過(guò)，整個(gè)操作系統(tǒng)將不再可靠，并且隨著監(jiān)控可見(jiàn)性的降低，威脅行為者可以篡改設(shè)備上的任何安全解決方案以逃避檢測(cè)。"