微软披露macOS漏洞CVE-2024-44243，允许安装Rootkit

微软近日披露了一个已修复的微软macOS安全漏洞 ，该漏洞如果被成功利用，披露可能允许以"root"权限运行的允许攻击者绕过操作系统的系统完整性保护（SIP），并通过加载第三方内核扩展来安装恶意内核驱动程序。安装

该漏洞编号为CVE-2024-44243（CVSS评分 ：5.5）
，微软属于中等严重性漏洞，披露苹果公司已在上个月发布的允许macOS Sequoia 15.2中修复了该漏洞。苹果公司将其描述为一个"配置问题"，安装可能允许恶意应用程序修改文件系统的微软受保护部分 。

微软威胁情报团队的高防服务器披露Jonathan Bar Or表示："绕过SIP可能导致严重后果 ，例如增加攻击者和恶意软件作者成功安装rootkit 、允许创建持久性恶意软件、安装绕过透明度、微软同意和控制（TCC）的披露可能性 ，并为其他技术和漏洞利用扩大攻击面。允许"

SIP
，也称为rootless ，是一个安全框架，旨在防止安装在Mac上的恶意软件篡改操作系统的受保护部分 ，云计算包括/System、/usr、/bin  、/sbin 、/var以及设备上预装的应用程序 。

它通过对root用户账户强制执行各种保护措施来工作，只允许由苹果签名并具有写入系统文件特殊权限的进程（如苹果软件更新和苹果安装程序）修改这些受保护部分。

与SIP相关的两个权限如下：

com.apple.rootless.install，该权限为具有此权限的进程解除SIP的文件系统限制com.apple.rootless.install.heritable
，建站模板该权限通过继承com.apple.rootless.install权限
，为进程及其所有子进程解除SIP的文件系统限制

CVE-2024-44243是微软在macOS中发现的最新SIP绕过漏洞，此前还有CVE-2021-30892（Shrootless）和CVE-2023-32369（Migraine） 。该漏洞利用存储守护进程（storagekitd）的"com.apple.rootless.install.heritable"权限来绕过SIP保护 。

具体来说
，这是通过利用"storagekitd在没有适当验证或降低权限的情况下调用任意进程的能力"，将新的模板下载文件系统包传递到/Library/Filesystems（storagekitd的子进程），并覆盖与磁盘工具相关的二进制文件来实现的，这些二进制文件随后可以在某些操作（如磁盘修复）中被触发
。

Bar Or表示："由于以root权限运行的攻击者可以将新的文件系统包放入/Library/Filesystems，他们随后可以触发storagekitd生成自定义二进制文件，从而绕过SIP
。在新创建的文件系统上触发擦除操作也可以绕过SIP保护 。"

此次披露距离微软详细说明苹果macOS中透明度 、服务器租用同意和控制（TCC）框架的另一个安全漏洞（CVE-2024-44133，CVSS评分：5.5
，又名HM Surf）已有近三个月 ，该漏洞可能被利用来访问敏感数据。

Bar Or表示："禁止第三方代码在内核中运行可以提高macOS的可靠性，但代价是降低了安全解决方案的监控能力。如果SIP被绕过，整个操作系统将不再可靠，并且随着监控可见性的降低，亿华云威胁行为者可以篡改设备上的任何安全解决方案以逃避检测。"