CVE-2024-44243 macOS 漏洞
微軟揭露了 Apple macOS 中的一個安全漏洞,如果被利用,具有 root 存取權限的駭客可能會繞過系統完整性保護 (SIP)。此缺陷可能會導致透過第三方核心擴充未經授權安裝損壞的核心驅動程序,從而嚴重損害系統安全。
目錄
CVE-2024-44243 的詳細信息
此漏洞編號為 CVE-2024-44243,CVSS 嚴重性評分為 5.5,歸類為中度風險問題。蘋果上個月在 macOS Sequoia 15.2 更新中解決了這個缺陷。該公司將其描述為“配置問題”,可能允許不安全的應用程式修改檔案系統的受保護區域,從而有效削弱核心安全保護。
繞過 SIP 的風險
系統完整性保護,也稱為“無根”,是一種基本的 macOS 安全機制,旨在防止對關鍵系統組件進行未經授權的修改。透過繞過 SIP,攻擊者可以安裝 Rootkit 等持續威脅,規避 Apple 的透明、同意和控制 (TCC) 框架,並為進一步利用打開大門。
SIP 如何保護 macOS
SIP 的工作原理是對基本目錄(包括 /System、/usr、/bin、/sbin 和 /var)實施嚴格的存取控制。它將對這些區域的修改限制為僅具有特定權利的 Apple 簽章流程,例如軟體更新和系統安裝程式。這種保護措施可以防止使用者和攻擊者篡改 macOS 的核心功能。
SIP 權利:一把雙面刃
Apple 提供了兩項監管修改的關鍵 SIP 權利:
- com.apple.rootless.install :授予繞過特定進程的 SIP 檔案系統限制的權限。
- com.apple.rootless.install.heritable:將繞過權限擴展到進程及其所有子進程。
利用這些權利可能使攻擊者能夠超越 SIP 保護,從而成為一個嚴重的安全問題。
漏洞利用:攻擊者如何繞過 SIP
新發現的SIP 繞過與過去的漏洞類似,如CVE-2021-30892 (Shrootless) 和CVE-2023-32369 (Migraine),利用macOS 儲存套件守護程式(storagekitd) 中的「com.apple.rootless.install .heritable”權限)。
透過濫用 storagekitd 在未經驗證的情況下啟動任意進程的能力,攻擊者可以將威脅檔案系統套件引入 /Library/Filesystems 中。這將允許他們覆蓋連結到 macOS 磁碟實用程式的二進位文件,從而在磁碟修復等操作期間觸發攻擊。此外,root 使用者可以利用此缺陷執行未經授權的程式碼,從而完全繞過 SIP 保護。
Microsoft 的持續安全調查結果
在此發現之前,微軟先前就報告了透明度、同意和控制 (TCC) 框架中的另一個 macOS 漏洞(CVE-2024-44133,又稱 HM Surf)。此漏洞的 CVSS 評分為 5.5,可能會被用來存取敏感使用者資料。 macOS 安全措施的反覆攻擊凸顯了持續警覺和修補的必要性。
大局觀:為什麼 SIP 很重要
透過限制第三方核心擴展,Apple 增強了 macOS 的穩定性和安全性。然而,繞過 SIP 會損害這些保護,使系統容易受到進階威脅。如果停用 SIP,安全解決方案也可能會失去可見性,使攻擊者能夠在不被注意的情況下操縱或停用安全工具。
攻擊者的主要目標
對於安全研究人員和威脅行為者來說,SIP 仍然是高價值目標。 Apple 的許多安全防禦措施都假設 SIP 無法被繞過,這使得任何漏洞都成為重大突破。成功的攻擊可能會讓駭客將惡意檔案放置在受保護的目錄中、隱藏安全工具的活動並完全繞過 macOS 安全提示。
保持保護:為什麼更新至關重要
眾所周知,攻擊者使用社會工程策略來操縱使用者授予不必要的權限。然而,利用 SIP 可以完全消除使用者互動的需要。鑑於 SIP 在 macOS 安全中的基本作用,針對此類漏洞的最佳防禦措施是確保 macOS 始終保持最新狀態。蘋果的安全修補程式發布後立即安裝是防止攻擊者利用這些漏洞的最有效方法。