Apple 最近解决了一个漏洞,该漏洞允许拥有 root 权限的攻击者绕过系统完整性保护 (SIP) 以安装“不可删除”的恶意软件并通过规避透明、同意和控制 (TCC) 安全检查来访问受害者的私人数据。
该漏洞(称为Migraine )由一组 Microsoft 安全研究人员发现并报告给 Apple,现在被追踪为CVE-2023-32369。
Apple 已在两周前的 5 月 18 日发布的macOS Ventura 13.4、macOS Monterey 12.6.6和macOS Big Sur 11.7.7安全更新中修补了该漏洞。
系统完整性保护 (SIP),也称为“无根”,是一种 macOS 安全机制,可通过对根用户帐户及其在操作系统受保护区域内的功能施加限制来防止潜在的恶意软件更改某些文件夹和文件。
SIP 的运作原则是,只有由 Apple 签名或拥有特殊权利的进程(例如 Apple 软件更新和安装程序)才有权更改受 macOS 保护的组件。
同样重要的是要注意,如果不重新启动系统并启动 macOS Recovery(内置恢复系统),就无法禁用 SIP,这需要对已经受损的设备进行物理访问。
然而,微软的研究人员发现,拥有 root 权限的攻击者可以通过滥用 macOS 迁移助手实用程序来绕过 SIP 安全实施,这是一个内置的 macOS 应用程序,它使用 systemmigrationd 守护进程,具有源自其 com.apple.rootless.install 的 SIP 绕过功能。可继承的权利。
研究人员证明,拥有 root 权限的攻击者可以使用 AppleScript 自动执行迁移过程,并在将其添加到 SIP 的排除列表后启动恶意负载,而无需重新启动系统和从 macOS Recovery 启动。
“通过关注由 Apple 签名并具有 com.apple.rootless.install.heritable 权利的系统进程,我们发现了两个可以被篡改的子进程,以在绕过 SIP 检查的安全上下文中获得任意代码执行,”微软威胁情报团队表示。
任意绕过 SIP 会带来重大风险,尤其是在被恶意软件创建者利用时,因为它可以使恶意代码产生深远的影响,包括创建无法通过标准删除方法删除的受 SIP 保护的恶意软件。
它们还极大地扩大了攻击面,并可能允许攻击者通过任意内核代码执行来篡改系统完整性,并可能安装 rootkit 以隐藏安全软件中的恶意进程和文件。
绕过 SIP 保护还可以完全绕过透明、同意和控制 (TCC) 策略,使威胁行为者能够替换 TCC 数据库并获得对受害者私人数据的无限制访问权限。
这不是 Microsoft 研究人员近年来报告的第一个此类 macOS 漏洞,2021 年报告了另一个名为Shrootless 的 SIP 绕过漏洞,允许攻击者在受感染的 Mac 上执行任意操作,将权限提升为 root,并可能在易受攻击的设备上安装 rootkit。
最近,Microsoft 首席安全研究员 Jonathan Bar Or 还发现了一个名为 Achilles 的安全漏洞,攻击者可以利用该漏洞通过能够绕过 Gatekeeper 执行限制的不受信任的应用程序部署恶意软件。
他还发现了 powerdir,这是另一个 macOS 安全漏洞,可以让攻击者绕过透明、同意和控制 (TCC) 技术来访问用户的受保护数据。
如若转载,请注明出处:https://www.ozabc.com/un/535729.html