微软近日披露了一个已修复的macOS安全漏洞，该漏洞如果被成功利用，可能允许以"root"权限运行的攻击者绕过操作系统的系统完整性保护（SIP），并通过加载第三方内核扩展来安装恶意内核驱动程序。

该漏洞编号为CVE-2024-44243（CVSS评分：5.5），属于中等严重性漏洞，苹果公司已在上个月发布的macOS Sequoia 15.2中修复了该漏洞。苹果公司将其描述为一个"配置问题"，可能允许恶意应用程序修改文件系统的受保护部分。

微软威胁情报团队的Jonathan Bar Or表示："绕过SIP可能导致严重后果，例如增加攻击者和恶意软件作者成功安装rootkit、创建持久性恶意软件、绕过透明度、同意和控制（TCC）的可能性，并为其他技术和漏洞利用扩大攻击面。"

SIP，也称为rootless，是一个安全框架，旨在防止安装在Mac上的恶意软件篡改操作系统的受保护部分，包括/System、/usr、/bin、/sbin、/var以及设备上预装的应用程序。

它通过对root用户账户强制执行各种保护措施来工作，只允许由苹果签名并具有写入系统文件特殊权限的进程（如苹果软件更新和苹果安装程序）修改这些受保护部分。

与SIP相关的两个权限如下：

• com.apple.rootless.install，该权限为具有此权限的进程解除SIP的文件系统限制
• com.apple.rootless.install.heritable，该权限通过继承com.apple.rootless.install权限，为进程及其所有子进程解除SIP的文件系统限制

CVE-2024-44243是微软在macOS中发现的最新SIP绕过漏洞，此前还有CVE-2021-30892（Shrootless）和CVE-2023-32369（Migraine）。该漏洞利用存储守护进程（storagekitd）的"com.apple.rootless.install.heritable"权限来绕过SIP保护。

具体来说，这是通过利用"storagekitd在没有适当验证或降低权限的情况下调用任意进程的能力"，将新的文件系统包传递到/Library/Filesystems（storagekitd的子进程），并覆盖与磁盘工具相关的二进制文件来实现的，这些二进制文件随后可以在某些操作（如磁盘修复）中被触发。

Bar Or表示："由于以root权限运行的攻击者可以将新的文件系统包放入/Library/Filesystems，他们随后可以触发storagekitd生成自定义二进制文件，从而绕过SIP。在新创建的文件系统上触发擦除操作也可以绕过SIP保护。"

此次披露距离微软详细说明苹果macOS中透明度、同意和控制（TCC）框架的另一个安全漏洞（CVE-2024-44133，CVSS评分：5.5，又名HM Surf）已有近三个月，该漏洞可能被利用来访问敏感数据。

Bar Or表示："禁止第三方代码在内核中运行可以提高macOS的可靠性，但代价是降低了安全解决方案的监控能力。如果SIP被绕过，整个操作系统将不再可靠，并且随着监控可见性的降低，威胁行为者可以篡改设备上的任何安全解决方案以逃避检测。"

参考来源：

Microsoft Uncovers macOS Vulnerability CVE-2024-44243 Allowing Rootkit Installation

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途，否则一切后果请用户自负。

本站信息来自网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序，请支持正版，购买注册，得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解！

程序来源网络，不确保不包含木马病毒等危险内容，请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱：4ablog168#gmail.com（#换成@）