Microsoft 发现 macOS 漏洞 CVE-2024-44243,该漏洞可实现 Rootkit 部署
Microsoft 已发现 macOS 中的一个严重漏洞,指定为 CVE-2024-44243,该漏洞可能允许攻击者绕过关键安全措施并部署 Rootkit。这一发现凸显了及时软件更新以及科技行业内部合作以增强安全性的必要性。
它强调了对不断变化的网络威胁保持警惕和做好准备的重要性,强调了强有力的安全实践来保护敏感数据和维护系统完整性的必要性。
什么是 CVE-2024-44243?
微软研究人员在 macOS 中发现了一个安全问题。此问题称为 CVE-2024-44243。它可能会让坏人安装 rootkit。 Rootkit 就像一把密钥,可以让某人深度控制您的计算机。这是一个严重的问题,因为它可以绕过系统完整性保护 (SIP)。
SIP 的工作原理及其重要性
SIP 是 macOS 的一项核心安全功能。它可以阻止不良软件弄乱重要的系统文件。将其视为 Mac 核心软件的安全卫士。 CVE-2024-44243 可能会让攻击者溜过这个守卫。然后他们可以安装很难检测和删除的恶意软件。
内核扩展的作用
内核扩展是小段代码。他们为 macOS 添加了额外的功能。该漏洞允许攻击者加载错误的内核扩展。这就是他们安装 rootkit 的方法。一旦 Rootkit 就位,攻击者就拥有很大的权力。他们可以监视您、窃取数据,甚至完全接管您的 Mac。
参见:Microsoft Outlook 总是崩溃?查看这 8 项修复 (2024)
影响和缓解
该漏洞为具有 root 权限的攻击者提供了绕过 SIP 的方法。这使得他们能够加载恶意内核扩展。这是一件大事,因为它破坏了 macOS 的一项关键安全功能。 Apple 已在 macOS Sequoia 15.2 中发布了补丁。更新 Mac 对于确保安全至关重要。
技术细节和时间表
微软发现了这个问题并将其告知了苹果。这种负责任的披露有助于保护用户的安全。苹果公司随后进行了修复。整个过程表明,安全研究人员和软件公司的合作是多么重要。
关键方面的比较
| 特征 | 描述 |
|---|---|
| CVE-2024-44243 | macOS 漏洞的标识符。 |
| 系统完整性保护 (SIP) | macOS 中保护系统文件的安全功能。 |
| Rootkit | 隐藏其存在并授予未经授权的访问的恶意软件。 |
| 内核扩展 | 为 macOS 添加额外功能的代码。 |
| macOS 红杉 15.2 | 包含此漏洞补丁的 macOS 版本。 |
简短摘要:
- 新发现的漏洞可以让本地攻击者绕过系统完整性保护(SIP)。
- 利用该漏洞可能会导致永久恶意软件的安装和 Rootkit 的部署。
- Apple 已在 macOS 的最新更新中修复了此漏洞。
Microsoft 披露了有关 macOS 中新发现的安全漏洞的信息,该漏洞的标识符为 CVE-2024-44243。此缺陷带来了重大风险,因为它允许具有 root 权限的本地攻击者绕过系统完整性保护 (SIP),这是一项重要的安全功能,旨在保护关键系统区域免遭修改,即使是具有 root 级别访问权限的用户也是如此。正如 Microsoft 所强调的那样,此漏洞可能会促进 Rootkit 或恶意内核驱动程序的安装,从而可能导致受影响的设备上出现持久且不可删除的恶意软件。
微软首席安全研究员 Jonathan Bar Or 解释了这一缺陷的影响,他表示:
“绕过 SIP 可能会导致严重后果,例如增加攻击者和恶意软件作者成功安装 Rootkit、创建持久性恶意软件、绕过透明、同意和控制 (TCC) 以及扩大其他技术和漏洞攻击的攻击面的可能性。”
该声明强调了该漏洞的潜在严重性以及及时解决该漏洞的重要性。
系统完整性保护,通常称为 SIP 或“无根”,是 macOS El Capitan 中引入的一种安全协议。其主要功能是通过防止应用程序进行未经授权的修改来保护核心 macOS 组件,即使它们以 root 权限运行也是如此。这包括关键目录,例如 /System、/usr、/bin、/sbin 以及与预安装应用程序相关的其他目录。 SIP 仅允许 Apple 签名的进程或具有特定权利(例如软件更新)的进程修改敏感系统文件。
在解释该漏洞的技术方面时,确定 CVE-2024-44243 利用了存储套件守护程序的授权功能,具体来说,com.apple.rootless.install.heritable。此权利允许进程在不进行充分验证的情况下调用任意操作,从而在受保护的目录中部署有害的文件系统包。利用的一个关键点包括替换与磁盘实用程序关联的二进制文件的能力,然后可以在磁盘管理任务(例如修复)期间激活该二进制文件。
吧还是详细的利用过程:
“由于可以以 root 身份运行的攻击者可以将新的文件系统包删除到 /Library/Filesystems,因此他们稍后可以触发 storagekitd 生成自定义二进制文件,从而绕过 SIP。在新创建的文件系统上触发擦除操作也可以绕过 SIP 保护。”
这种方法表明了一种规避传统安全协议的复杂方法。
此漏洞是在 Microsoft 发现的另一个有关 Apple TCC 框架的相关问题之后出现的,该问题也获得了 CVE 指定 (CVE-2024-44133)。微软强调,发现的能够破坏 macOS 安全机制的漏洞的趋势值得注意,并强调了之前发现的问题,例如“Shrootless”(CVE-2021-30892) 和“Migraine”(CVE-2023-32369),它们也切断了 SIP 保护。
专家断言,利用 CVE-2024-44243 将使攻击者能够直接访问并修改操作系统的受保护区域。这种恐惧不仅仅局限于直接的漏洞,因为绕过 SIP 措施的能力会导致一系列恶意活动,包括创建无法检测到的恶意软件,这些恶意软件即使在典型的删除过程之后仍然存在于系统中。
鉴于此安全漏洞的严重性,Apple 已迅速做出反应,将修复程序集成到 2024 年 12 月 11 日发布的最新 macOS Sequoia 15.2 更新中。敦促 macOS 用户立即安装此更新,以降低潜在风险并恢复系统完整性。
微软在披露的内容中强调了系统完整性保护在保护 macOS 设备方面发挥的关键作用。酒吧或维持,
“SIP 是抵御恶意软件、攻击者和其他网络安全威胁的重要保障,为 macOS 系统建立了基本的保护层。”
绕过这样一个关键系统的故障保护,会让人对操作系统抵御复杂攻击的整体可靠性产生疑问。
CVE-2024-44243 的出现说明了 macOS 中漏洞的动态性质,迫使用户和开发人员在网络安全工作中保持警惕和主动。随着传统安全防御与更复杂的攻击向量作斗争,重点转向增强对特殊授权进程产生的异常行为的检测能力。
安全专家主张采取综合措施,建议组织和个人用户不仅及时应用软件更新,还要持续监控系统是否有新漏洞。未被发现的攻击的影响可能很严重,会削弱信任并导致严重的运营中断。
