微软近日披露了一个已修复的macOS安全漏洞，该漏洞如果被成功利用，可能允许以"root"权限运行的攻击者绕过操作系统的系统完整性保护（SIP），并通过加载第三方内核扩展来安装恶意内核驱动程序。

该漏洞编号为CVE-2024-44243（CVSS评分：5.5），属于中等严重性漏洞，苹果公司已在上个月发布的macOS Sequoia 15.2中修复了该漏洞。苹果公司将其描述为一个"配置问题"，可能允许恶意应用程序修改文件系统的受保护部分。

微软威胁情报团队的Jonathan Bar Or表示："绕过SIP可能导致严重后果，例如增加攻击者和恶意软件作者成功安装rootkit、创建持久性恶意软件、绕过透明度、同意和控制（TCC）的可能性，并为其他技术和漏洞利用扩大攻击面。"

SIP，也称为rootless，是一个安全框架，旨在防止安装在Mac上的恶意软件篡改操作系统的受保护部分，包括/System、/usr、/bin、/sbin、/var以及设备上预装的应用程序。

它通过对root用户账户强制执行各种保护措施来工作，只允许由苹果签名并具有写入系统文件特殊权限的进程（如苹果软件更新和苹果安装程序）修改这些受保护部分。

与SIP相关的两个权限如下：

• com.apple.rootless.install，该权限为具有此权限的进程解除SIP的文件系统限制
• com.apple.rootless.install.heritable，该权限通过继承com.apple.rootless.install权限，为进程及其所有子进程解除SIP的文件系统限制

CVE-2024-44243是微软在macOS中发现的最新SIP绕过漏洞，此前还有CVE-2021-30892（Shrootless）和CVE-2023-32369（Migraine）。该漏洞利用存储守护进程（storagekitd）的"com.apple.rootless.install.heritable"权限来绕过SIP保护。

具体来说，这是通过利用"storagekitd在没有适当验证或降低权限的情况下调用任意进程的能力"，将新的文件系统包传递到/Library/Filesystems（storagekitd的子进程），并覆盖与磁盘工具相关的二进制文件来实现的，这些二进制文件随后可以在某些操作（如磁盘修复）中被触发。

Bar Or表示："由于以root权限运行的攻击者可以将新的文件系统包放入/Library/Filesystems，他们随后可以触发storagekitd生成自定义二进制文件，从而绕过SIP。在新创建的文件系统上触发擦除操作也可以绕过SIP保护。"

此次披露距离微软详细说明苹果macOS中透明度、同意和控制（TCC）框架的另一个安全漏洞（CVE-2024-44133，CVSS评分：5.5，又名HM Surf）已有近三个月，该漏洞可能被利用来访问敏感数据。

Bar Or表示："禁止第三方代码在内核中运行可以提高macOS的可靠性，但代价是降低了安全解决方案的监控能力。如果SIP被绕过，整个操作系统将不再可靠，并且随着监控可见性的降低，威胁行为者可以篡改设备上的任何安全解决方案以逃避检测。"

参考来源：

Microsoft Uncovers macOS Vulnerability CVE-2024-44243 Allowing Rootkit Installation