微软公布了一个影响苹果macOS系统的安全漏洞,如果成功利用该漏洞,以 "root "身份运行的攻击者就可以绕过操作系统的系统完整性保护(SIP),通过加载第三方内核扩展来安装恶意内核驱动程序。 该漏洞名为CVE-2024-44243(CVSS评分:5.5),是一个中等严重性的漏洞,苹果已在上个月发布的macOS Sequoia 15.2中解决了该漏洞。 该 iPhone 制造商将其描述为一个 "配置问题",它可能允许恶意应用程序修改文件系统中受保护的部分。"绕过 SIP 可能会导致严重后果,比如增加攻击者和恶意软件作者成功安装 rootkit、创建持久性恶意软件、绕过透明、同意和控制(TCC)的可能性,并为其他技术和漏洞利用扩大攻击面,"微软威胁情报团队的 Jonathan Bar Or 说。
SIP 又称无根,是一个安全框架,旨在防止安装在 Mac 上的恶意软件篡改操作系统的受保护部分,包括 /System、/usr、/bin、/sbin、/var 和预装在设备上的应用程序。
它的工作原理是对 root 用户账户实施各种保护,只允许由 Apple 签名的进程修改这些受保护部分,这些进程拥有写入系统文件的特殊权限,如 Apple 软件更新和 Apple 安装程序。 以下是 SIP 的两个特殊权限 - com.com.apple.rootless.install,通过继承 com.apple.rootless.install.heritable,解除 SIP 对具有此权限的进程的文件系统限制。继 CVE-2021-30892 (Shrootless) 和 CVE-2023-32369 (Migraine)之后,微软在 macOS 中发现的最新 SIP 绕过 CVE-2024-44243 的安装权限,利用存储工具包守护进程 (storagekitd) 的 "com.apple.rootless.install.heritable "权限绕过 SIP 保护。
具体来说,这是通过利用 "storagekitd 在没有适当验证或放弃权限的情况下调用任意进程的能力",向 /Library/Filesystems (storagekitd 的子进程)提供新的文件系统捆绑包,并覆盖与磁盘实用程序相关的二进制文件来实现的。
"Bar Or说:"由于可以以root身份运行的攻击者可以向/Library/Filesystems投放一个新的文件系统捆绑包,他们随后可以触发storagekitd生成自定义二进制文件,从而绕过SIP。 "Bar Or说:"在新创建的文件系统上触发擦除操作也可以绕过SIP保护。" 在微软披露这一信息近三个月后,微软还详细介绍了苹果macOS中的透明、同意和控制(TCC)框架(CVE-2024-44133,CVSS评分:5.5)--又名HM Surf--中的另一个安全漏洞,该漏洞可被利用来访问敏感数据。"禁止第三方代码在内核中运行可以提高macOS的可靠性,但代价是降低了安全解决方案的监控能力。
"如果 SIP 被绕过,整个操作系统就不能再被认为是可靠的,而且由于监控可视性降低,威胁行为者可以篡改设备上的任何安全解决方案,以逃避检测"。
信息来源:https://thehackernews.com/2025/01/microsoft-uncovers-macos-vulnerability.html
AI API 安全 DMARC 中国 云安全 五角大楼 人工智能 关税 加密货币 勒索软件 品牌冒充 国家安全 威胁情报 应用程序安全 恶意软件 数字货币 时事政治 时政 时政新闻 木马病毒 欺诈管理和网络犯罪 欺骗 民族国家攻击 漏洞和威胁 特朗普政府 社会工程学 社会工程学、网络战 移动安全 端点安全 缺口 网络安全 网络安全运营 网络攻击和数据泄露 网络犯罪 网络罪犯 网络钓鱼 网络间谍 网络风险 美国贸易代表办公室 联邦贸易委员会 脆弱性 金融与银行 间谍软件 阿联酋 骗局