CVE-2024-44243 macOS 漏洞
微软披露了 Apple macOS 中的一个安全漏洞,如果该漏洞被利用,拥有 root 权限的黑客可以绕过系统完整性保护 (SIP)。该漏洞允许通过第三方内核扩展未经授权安装损坏的内核驱动程序,从而严重危害系统安全。
目录
CVE-2024-44243 的详细信息
该漏洞被标识为 CVE-2024-44243,CVSS 严重性评分为 5.5,被归类为中等风险问题。苹果上个月在 macOS Sequoia 15.2 更新中解决了这个漏洞。该公司将其描述为“配置问题”,可能允许不安全的应用程序修改文件系统的受保护区域,从而有效削弱核心安全保护。
绕过 SIP 的风险
系统完整性保护(也称为“无根”)是 macOS 的基本安全机制,旨在防止对关键系统组件进行未经授权的修改。通过绕过 SIP,攻击者可以安装 rootkit 等持续威胁,逃避 Apple 的透明度、同意和控制 (TCC) 框架,并为进一步利用漏洞打开大门。
SIP 如何保护 macOS
SIP 的工作原理是对重要目录(包括 /System、/usr、/bin、/sbin 和 /var)实施严格的访问控制。它将对这些区域的修改限制为仅具有特定权限的 Apple 签名进程,例如软件更新和系统安装程序。此保护措施可防止用户和攻击者篡改 macOS 的核心功能。
SIP 授权:一把双刃剑
Apple 提供了两项规范修改的关键 SIP 权利:
- com.apple.rootless.install :授予权限以绕过特定进程的 SIP 文件系统限制。
- com.apple.rootless.install.heritable:将绕过权限扩展到该进程及其所有子进程。
利用这些权利可以使攻击者超越 SIP 保护,这是一个严重的安全问题。
漏洞:攻击者如何绕过 SIP
新发现的 SIP 绕过类似于过去的漏洞,例如 CVE-2021-30892(Shrootless)和 CVE-2023-32369(Migraine),利用 macOS 的 Storage Kit 守护程序(storagekitd)中的“com.apple.rootless.install.heritable”权利。
通过滥用 storagekitd 无需验证即可启动任意进程的能力,攻击者可以将威胁性文件系统包引入 /Library/Filesystems。这将允许他们覆盖链接到 macOS 磁盘实用程序的二进制文件,从而在磁盘修复等操作期间触发攻击。此外,root 用户可以利用此漏洞执行未经授权的代码,从而完全绕过 SIP 保护。
微软的持续安全发现
此前,微软曾报告过另一个 macOS 漏洞,该漏洞存在于透明度、同意和控制 (TCC) 框架中 (CVE-2024-44133,又名 HM Surf)。该漏洞的 CVSS 评分同样为 5.5,可能被利用来访问敏感用户数据。macOS 安全措施屡屡遭利用,凸显了持续警惕和修补的必要性。
全局观:SIP 为何重要
通过限制第三方内核扩展,Apple 增强了 macOS 的稳定性和安全性。然而,绕过 SIP 会损害这些保护,使系统容易受到高级威胁。如果禁用 SIP,安全解决方案也可能失去可见性,使攻击者能够在不被察觉的情况下操纵或禁用安全工具。
攻击者的首要目标
SIP 仍然是安全研究人员和威胁行为者的高价值目标。Apple 的许多安全防御措施都假设 SIP 无法绕过,因此任何漏洞利用都是重大突破。成功的攻击可能允许黑客将恶意文件放置在受保护的目录中,隐藏安全工具的活动并完全绕过 macOS 安全提示。
保持受保护:为什么更新至关重要
众所周知,攻击者会使用社交工程策略来操纵用户授予不必要的权限。然而,利用 SIP 可以完全消除用户交互的需要。鉴于 SIP 在 macOS 安全中发挥的基础作用,防范此类漏洞的最佳方法是确保 macOS 始终保持最新状态。在 Apple 发布安全补丁后立即安装是防止攻击者利用这些漏洞的最有效方法。