据BleepingComputer消息,苹果最近解决了一个由微软发现的macOS系统漏洞,该漏洞允许拥有 root 权限的攻击者绕过系统完整性保护 (SIP)以安装不可删除的恶意软件,并通过规避透明度同意和控制 (TCC) 安全检查来访问受害者的私人数据。
该漏洞被称为Migraine ,由一组微软安全研究人员发现并报告给苹果,现在被追踪为CVE-2023-32369。苹果已在两周前的 5 月 18 日发布的macOS Ventura 13.4、macOS Monterey 12.6.6和macOS Big Sur 11.7.7安全更新中修补了该漏洞。
系统完整性保护 (SIP)是一种 macOS 安全机制,可通过对根用户帐户及其在操作系统受保护区域内的功能施加限制来防止潜在的恶意软件更改某些文件夹和文件,其运作原则是只有由 Apple 签名或拥有特殊权限的进程(例如 Apple 软件更新和安装程序)才被授权更改受 macOS 保护的组件。
此外,如果不重新启动系统并启动 macOS Recovery(内置恢复系统),就无法禁用 SIP,这需要对已经受损的设备进行物理访问。
然而,微软的研究人员发现,拥有 root 权限的攻击者可以通过滥用 macOS 迁移助手实用程序来绕过 SIP 安全实施。研究证明,拥有 root 权限的攻击者可以使用 AppleScript 自动执行迁移过程,并在将其添加到 SIP 的排除列表后启动恶意负载,而无需重新启动系统和从 macOS Recovery 启动。
任意绕过 SIP 会带来重大风险,尤其是在被恶意软件利用时,包括创建无法通过标准删除方法删除的受 SIP 保护的恶意软件。此外攻击面也得到扩大,并可能允许攻击者通过任意内核代码执行来篡改系统完整性,并可能安装 rootkit 以隐藏安全软件中的恶意进程和文件。
绕过 SIP 保护还可以完全绕过TCC 策略,使攻击者能够替换 TCC 数据库并获得对受害者私人数据的无限制访问权限。
已非第一次发现macOS 漏洞
这不是微软研究人员近年来报告的第一个此类 macOS 漏洞。2021 年,微软报告了一个名为Shrootless 的 SIP 绕过漏洞,允许攻击者在受感染的 Mac 上执行任意操作,将权限提升为 root,并可能在易受攻击的设备上安装 rootkit。
最近,微软首席安全研究员 Jonathan Bar Or 还发现了一个名为 Achilles 的安全漏洞,攻击者可以利用该漏洞绕过 Gatekeeper对不受信任应用的限制,以此来部署恶意软件。他还发现了另一个名为powerdir的漏洞,可以让攻击者绕过TCC来访问用户的受保护数据。
参考来源:Microsoft finds macOS bug that lets hackers bypass SIP root restrictions