微软披露macOS漏洞CVE-2024-44243，允许安装Rootkit

微软近日披露了一个已修复的微软macOS安全漏洞，该漏洞如果被成功利用，披露可能允许以"root"权限运行的允许攻击者绕过操作系统的系统完整性保护（SIP），并通过加载第三方内核扩展来安装恶意内核驱动程序
。安装

该漏洞编号为CVE-2024-44243（CVSS评分：5.5），微软属于中等严重性漏洞，披露苹果公司已在上个月发布的允许macOS Sequoia 15.2中修复了该漏洞。苹果公司将其描述为一个"配置问题" ，安装可能允许恶意应用程序修改文件系统的微软受保护部分 。

微软威胁情报团队的亿华云披露Jonathan Bar Or表示  ："绕过SIP可能导致严重后果，例如增加攻击者和恶意软件作者成功安装rootkit 、允许创建持久性恶意软件、安装绕过透明度 、微软同意和控制（TCC）的披露可能性，并为其他技术和漏洞利用扩大攻击面。允许"

SIP，也称为rootless ，是一个安全框架，旨在防止安装在Mac上的恶意软件篡改操作系统的受保护部分，源码下载包括/System、/usr、/bin
、/sbin 、/var以及设备上预装的应用程序 。

它通过对root用户账户强制执行各种保护措施来工作，只允许由苹果签名并具有写入系统文件特殊权限的进程（如苹果软件更新和苹果安装程序）修改这些受保护部分。

与SIP相关的两个权限如下  ：

com.apple.rootless.install，该权限为具有此权限的进程解除SIP的文件系统限制com.apple.rootless.install.heritable，服务器租用该权限通过继承com.apple.rootless.install权限 
，为进程及其所有子进程解除SIP的文件系统限制

CVE-2024-44243是微软在macOS中发现的最新SIP绕过漏洞 ，此前还有CVE-2021-30892（Shrootless）和CVE-2023-32369（Migraine）。该漏洞利用存储守护进程（storagekitd）的"com.apple.rootless.install.heritable"权限来绕过SIP保护。

具体来说，这是通过利用"storagekitd在没有适当验证或降低权限的情况下调用任意进程的能力" ，将新的高防服务器文件系统包传递到/Library/Filesystems（storagekitd的子进程），并覆盖与磁盘工具相关的二进制文件来实现的，这些二进制文件随后可以在某些操作（如磁盘修复）中被触发。

Bar Or表示 ："由于以root权限运行的攻击者可以将新的文件系统包放入/Library/Filesystems
，他们随后可以触发storagekitd生成自定义二进制文件，从而绕过SIP 。在新创建的文件系统上触发擦除操作也可以绕过SIP保护 。"

此次披露距离微软详细说明苹果macOS中透明度、免费模板同意和控制（TCC）框架的另一个安全漏洞（CVE-2024-44133 ，CVSS评分：5.5，又名HM Surf）已有近三个月，该漏洞可能被利用来访问敏感数据
。

Bar Or表示："禁止第三方代码在内核中运行可以提高macOS的可靠性 ，但代价是降低了安全解决方案的监控能力。如果SIP被绕过，整个操作系统将不再可靠，并且随着监控可见性的降低，模板下载威胁行为者可以篡改设备上的任何安全解决方案以逃避检测。"