Microsoft 揭露 macOS 漏洞 CVE-2024-44243 可致安装 Rootkit
HackerNews 编译,转载请注明出处: Microsoft曝光了一个已修复的Apple macOS安全漏洞。该漏洞若被成功利用,可使以“root”身份运行的攻击者绕过操作系统的系统完整性保护(SIP),并通过加载第三方内核扩展来安装恶意内核驱动程序。 该漏洞为CVE-2024-44243(CVSS评分:5.5),属于中等严重程度,苹果已在上月发布的macOS Sequoia 15.2中进行了修复。苹果公司将此描述为一个“配置问题”,可能允许恶意应用修改文件系统的受保护部分。 Microsoft威胁情报团队的Jonathan Bar Or表示:“绕过SIP可能导致严重后果,例如增加攻击者和恶意软件作者成功安装rootkit、创建持久性恶意软件、绕过透明度、同意和控制(TCC)以及扩大攻击面和利用其他技术的可能性。” SIP(也称为无根模式)是一个安全框架,旨在防止安装在Mac上的恶意软件篡改操作系统的受保护部分,包括/System、/usr、/bin、/sbin、/var以及设备上预安装的应用程序。 它通过针对root用户账户执行各种保护来实现其功能,仅允许由苹果签名并具有写入系统文件的特殊权限的进程(如苹果软件更新和苹果安装程序)修改这些受保护的部分。 SIP特有的两项权限如下: com.apple.rootless.install:此权限可解除SIP对具有该权限的进程的文件系统限制。 com.apple.rootless.install.heritable:此权限通过继承com.apple.rootless.install权限,可解除SIP对进程及其所有子进程的文件系统限制。 CVE-2024-44243是Microsoft在macOS中发现的最新SIP绕过漏洞,此前发现的类似漏洞包括CVE-2021-30892(Shrootless)和CVE-2023-32369(Migraine)。该漏洞利用存储套件守护进程(storagekitd)的“com.apple.rootless.install.heritable”权限来绕过SIP保护。 具体而言,这是通过利用“storagekitd在无需适当验证或降低权限的情况下调用任意进程的能力”来实现的,可将新的文件系统包传递到/Library/Filesystems(storagekitd的子进程),并覆盖与磁盘工具相关的二进制文件,这些二进制文件可在执行某些操作(如磁盘修复)时被触发。 Bar Or表示:“由于能够以root身份运行的攻击者可以将新的文件系统包放入/Library/Filesystems,他们随后可以触发storagekitd生成自定义二进制文件,从而绕过SIP。在新创建的文件系统上触发擦除操作也可以绕过SIP保护。” 此次披露距Microsoft曝光Apple macOS透明度、同意和控制(TCC)框架中的另一个安全漏洞(CVE-2024-44133,CVSS评分:5.5),即HM Surf漏洞,已近三个月,该漏洞可能被利用来访问敏感数据。 Bar Or表示:“禁止第三方代码在内核中运行可以提高macOS的可靠性,但代价是降低了安全解决方案的监控能力。如果SIP被绕过,整个操作系统将不再可靠,且由于监控可见性降低,威胁行为者可以篡改设备上的任何安全解决方案以逃避检测。” 消息来源:The Hacker News, 编译:zhongx; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文