微软披露macOS漏洞CVE-2024-44243，允许安装Rootkit

微软近日披露了一个已修复的微软macOS安全漏洞，该漏洞如果被成功利用 ，披露可能允许以"root"权限运行的允许攻击者绕过操作系统的系统完整性保护（SIP），并通过加载第三方内核扩展来安装恶意内核驱动程序 。安装

该漏洞编号为CVE-2024-44243（CVSS评分：5.5），微软属于中等严重性漏洞，披露苹果公司已在上个月发布的允许macOS Sequoia 15.2中修复了该漏洞。苹果公司将其描述为一个"配置问题" ，安装可能允许恶意应用程序修改文件系统的微软受保护部分
。

微软威胁情报团队的香港云服务器披露Jonathan Bar Or表示："绕过SIP可能导致严重后果 ，例如增加攻击者和恶意软件作者成功安装rootkit、允许创建持久性恶意软件 、安装绕过透明度、微软同意和控制（TCC）的披露可能性，并为其他技术和漏洞利用扩大攻击面 。允许"

SIP ，也称为rootless，是一个安全框架，旨在防止安装在Mac上的恶意软件篡改操作系统的受保护部分
，模板下载包括/System、/usr
、/bin、/sbin、/var以及设备上预装的应用程序。

它通过对root用户账户强制执行各种保护措施来工作 ，只允许由苹果签名并具有写入系统文件特殊权限的进程（如苹果软件更新和苹果安装程序）修改这些受保护部分。

与SIP相关的两个权限如下：

CVE-2024-44243是微软在macOS中发现的最新SIP绕过漏洞，此前还有CVE-2021-30892（Shrootless）和CVE-2023-32369（Migraine）。该漏洞利用存储守护进程（storagekitd）的"com.apple.rootless.install.heritable"权限来绕过SIP保护 。

具体来说 ，这是通过利用"storagekitd在没有适当验证或降低权限的情况下调用任意进程的能力" 
，将新的高防服务器文件系统包传递到/Library/Filesystems（storagekitd的子进程），并覆盖与磁盘工具相关的二进制文件来实现的，这些二进制文件随后可以在某些操作（如磁盘修复）中被触发。

Bar Or表示："由于以root权限运行的攻击者可以将新的文件系统包放入/Library/Filesystems ，他们随后可以触发storagekitd生成自定义二进制文件，从而绕过SIP 。在新创建的文件系统上触发擦除操作也可以绕过SIP保护 。"

此次披露距离微软详细说明苹果macOS中透明度、建站模板同意和控制（TCC）框架的另一个安全漏洞（CVE-2024-44133，CVSS评分 ：5.5，又名HM Surf）已有近三个月，该漏洞可能被利用来访问敏感数据 。

Bar Or表示："禁止第三方代码在内核中运行可以提高macOS的可靠性 
，但代价是降低了安全解决方案的监控能力
。如果SIP被绕过，整个操作系统将不再可靠，并且随着监控可见性的降低
，云计算威胁行为者可以篡改设备上的任何安全解决方案以逃避检测。"

最新评论