(資料圖)
據(jù)BleepingComputer消息����,蘋(píng)果最近解決了一個(gè)由微軟發(fā)現(xiàn)的macOS系統(tǒng)漏洞,該漏洞允許擁有 root 權(quán)限的攻擊者繞過(guò)系統(tǒng)完整性保護(hù) (SIP)以安裝不可刪除的惡意軟件�,并通過(guò)規(guī)避透明度同意和控制 (TCC) 安全檢查來(lái)訪問(wèn)受害者的私人數(shù)據(jù)。
該漏洞被稱為Migraine �����,由一組微軟安全研究人員發(fā)現(xiàn)并報(bào)告給蘋(píng)果�,現(xiàn)在被追蹤為CVE-2023-32369。蘋(píng)果已在兩周前的 5 月 18 日發(fā)布的macOS Ventura 13.4���、macOS Monterey 12.6.6和macOS Big Sur 11.7.7安全更新中修補(bǔ)了該漏洞����。
系統(tǒng)完整性保護(hù) (SIP)是一種 macOS 安全機(jī)制�,可通過(guò)對(duì)根用戶帳戶及其在操作系統(tǒng)受保護(hù)區(qū)域內(nèi)的功能施加限制來(lái)防止?jié)撛诘膼阂廛浖哪承┪募A和文件�,其運(yùn)作原則是只有由 Apple 簽名或擁有特殊權(quán)限的進(jìn)程(例如 Apple 軟件更新和安裝程序)才被授權(quán)更改受 macOS 保護(hù)的組件。
此外�����,如果不重新啟動(dòng)系統(tǒng)并啟動(dòng) macOS Recovery(內(nèi)置恢復(fù)系統(tǒng)),就無(wú)法禁用 SIP���,這需要對(duì)已經(jīng)受損的設(shè)備進(jìn)行物理訪問(wèn)�。
然而�,微軟的研究人員發(fā)現(xiàn),擁有 root 權(quán)限的攻擊者可以通過(guò)濫用 macOS 遷移助手實(shí)用程序來(lái)繞過(guò) SIP 安全實(shí)施���。研究證明�����,擁有 root 權(quán)限的攻擊者可以使用 AppleScript 自動(dòng)執(zhí)行遷移過(guò)程�����,并在將其添加到 SIP 的排除列表后啟動(dòng)惡意負(fù)載�����,而無(wú)需重新啟動(dòng)系統(tǒng)和從 macOS Recovery 啟動(dòng)��。
任意繞過(guò) SIP 會(huì)帶來(lái)重大風(fēng)險(xiǎn)�����,尤其是在被惡意軟件利用時(shí)�,包括創(chuàng)建無(wú)法通過(guò)標(biāo)準(zhǔn)刪除方法刪除的受 SIP 保護(hù)的惡意軟件。此外攻擊面也得到擴(kuò)大�����,并可能允許攻擊者通過(guò)任意內(nèi)核代碼執(zhí)行來(lái)篡改系統(tǒng)完整性�����,并可能安裝 rootkit 以隱藏安全軟件中的惡意進(jìn)程和文件����。
繞過(guò) SIP 保護(hù)還可以完全繞過(guò)TCC 策略,使威脅行為者能夠替換 TCC 數(shù)據(jù)庫(kù)并獲得對(duì)受害者私人數(shù)據(jù)的無(wú)限制訪問(wèn)權(quán)限��。
已非第一次發(fā)現(xiàn)macOS 漏洞
這不是微軟研究人員近年來(lái)報(bào)告的第一個(gè)此類 macOS 漏洞���。2021 年�����,微軟報(bào)告了一個(gè)名為Shrootless 的 SIP 繞過(guò)漏洞,允許攻擊者在受感染的 Mac 上執(zhí)行任意操作����,將權(quán)限提升為 root�����,并可能在易受攻擊的設(shè)備上安裝 rootkit����。
最近���,微軟首席安全研究員 Jonathan Bar Or 還發(fā)現(xiàn)了一個(gè)名為 Achilles 的安全漏洞�,攻擊者可以利用該漏洞繞過(guò) Gatekeeper對(duì)不受信任應(yīng)用的限制�����,以此來(lái)部署惡意軟件���。他還發(fā)現(xiàn)了另一個(gè)名為powerdir的漏洞�,可以讓攻擊者繞過(guò)TCC來(lái)訪問(wèn)用戶的受保護(hù)數(shù)據(jù)���。
