苹果公司最近修复了一个macOS 漏洞，可导致攻击者绕过系统完整性保护 (SIP) 措施并通过加载第三方内核扩展的方式安装恶意内核驱动。

SIP 或 “rootless” 是macOS 的一个安全特性，可通过限制根用户账户在受保护区域的方式，阻止恶意软件修改特定文件夹和文件。SIP仅允许经过苹果签名的进程或具有特殊权限的进程如苹果软件更新，修改受macOS 保护的组件。正常情况下禁用SIP要求重启系统并从 macOS Recovery（内置恢复系统）进行引导，而这要求对受陷机器设备拥有物理访问权限。

该漏洞的编号为CVE-2024-44243，仅可由具有root权限的本地攻击者在复杂度低的攻击活动中利用，需用户交互。该漏洞存在于处理磁盘状态维持的 Storage Kit 守护进程中。

成功利用该漏洞可导致攻击者绕过 SIP 根限制，而无需物理访问权限来安装内核驱动，创建持久的“无法检测到的”恶意软件，或者绕过透明度、同意和控制 (TCC) 安全检查来访问受害者的数据。

苹果公司已在一个月前发布 macOS Sequoia 15.2修复该漏洞。微软今天发布报告表示，“SIP是针对恶意软件、攻击者和其它网络安全威胁的重要防护措施，为macOS 系统提供了根本性的防护层。绕过SIP影响整个操作系统的安全性，可导致严重后果，这说明部署完整安全解决方案的重要性，它能够从特殊权限进程中检测到异常行为。”

微软公司的安全研究员在近年来发现了多个 macOS 漏洞。他们曾在2021年报送了一个SIP绕过漏洞 “Shrootless” (CVE-2021-30892)，可导致攻击者在受陷的Mac 设备上执行任意操作并可能安装内核驱动。最近，他们还发现了另外一个SIP绕过漏洞，名为 Migraine (CVE-2023-32369)，以及另外一个名为 “Achilles” 的漏洞 (CVE-2022-42821)。这些漏洞可被通过不可信的应用部署恶意软件，从而绕过 Gatekeeper 执行限制。

微软首席安全研究员 Jonathan Bar Or 还发现了另外一个 macOS 漏洞 (CVE-2021-30970)，可导致攻击者绕过TCC技术访问macOS 用户的受保护数据。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~