微軟近日披露了一個已修復的macOS安全漏洞，該漏洞如果被成功利用，可能允許以"root"權限運行的攻擊者繞過操作系統的系統完整性保護（SIP），并通過加載第三方內核擴展來安裝惡意內核驅動程序。

該漏洞編號為CVE-2024-44243（CVSS評分：5.5），屬于中等嚴重性漏洞，蘋果公司已在上個月發布的macOS Sequoia 15.2中修復了該漏洞。蘋果公司將其描述為一個"配置問題"，可能允許惡意應用程序修改文件系統的受保護部分。

微軟威脅情報團隊的Jonathan Bar Or表示："繞過SIP可能導致嚴重后果，例如增加攻擊者和惡意軟件作者成功安裝rootkit、創建持久性惡意軟件、繞過透明度、同意和控制（TCC）的可能性，并為其他技術和漏洞利用擴大攻擊面。"

SIP，也稱為rootless，是一個安全框架，旨在防止安裝在Mac上的惡意軟件篡改操作系統的受保護部分，包括/System、/usr、/bin、/sbin、/var以及設備上預裝的應用程序。

它通過對root用戶賬戶強制執行各種保護措施來工作，只允許由蘋果簽名并具有寫入系統文件特殊權限的進程（如蘋果軟件更新和蘋果安裝程序）修改這些受保護部分。

與SIP相關的兩個權限如下：

• com.apple.rootless.install，該權限為具有此權限的進程解除SIP的文件系統限制
• com.apple.rootless.install.heritable，該權限通過繼承com.apple.rootless.install權限，為進程及其所有子進程解除SIP的文件系統限制

CVE-2024-44243是微軟在macOS中發現的最新SIP繞過漏洞，此前還有CVE-2021-30892（Shrootless）和CVE-2023-32369（Migraine）。該漏洞利用存儲守護進程（storagekitd）的"com.apple.rootless.install.heritable"權限來繞過SIP保護。

具體來說，這是通過利用"storagekitd在沒有適當驗證或降低權限的情況下調用任意進程的能力"，將新的文件系統包傳遞到/Library/Filesystems（storagekitd的子進程），并覆蓋與磁盤工具相關的二進制文件來實現的，這些二進制文件隨后可以在某些操作（如磁盤修復）中被觸發。

Bar Or表示："由于以root權限運行的攻擊者可以將新的文件系統包放入/Library/Filesystems，他們隨后可以觸發storagekitd生成自定義二進制文件，從而繞過SIP。在新創建的文件系統上觸發擦除操作也可以繞過SIP保護。"

此次披露距離微軟詳細說明蘋果macOS中透明度、同意和控制（TCC）框架的另一個安全漏洞（CVE-2024-44133，CVSS評分：5.5，又名HM Surf）已有近三個月，該漏洞可能被利用來訪問敏感數據。

Bar Or表示："禁止第三方代碼在內核中運行可以提高macOS的可靠性，但代價是降低了安全解決方案的監控能力。如果SIP被繞過，整個操作系統將不再可靠，并且隨著監控可見性的降低，威脅行為者可以篡改設備上的任何安全解決方案以逃避檢測。"