Microsoft 發現 macOS 漏洞 CVE-2024-44243,該漏洞可實現 Rootkit 部署
Microsoft 已發現 macOS 中的一個嚴重漏洞,指定為 CVE-2024-44243,該漏洞可能允許攻擊者繞過關鍵安全措施並部署 Rootkit。這一發現凸顯了及時軟件更新以及科技行業內部合作以增強安全性的必要性。
它強調了對不斷變化的網絡威脅保持警惕和做好準備的重要性,強調了強有力的安全實踐來保護敏感數據和維護系統完整性的必要性。
什麼是 CVE-2024-44243?
微軟研究人員在 macOS 中發現了一個安全問題。此問題稱為 CVE-2024-44243。它可能會讓壞人安裝 rootkit。 Rootkit 就像一把密鑰,可以讓某人深度控制您的計算機。這是一個嚴重的問題,因為它可以繞過系統完整性保護 (SIP)。
SIP 的工作原理及其重要性
SIP 是 macOS 的一項核心安全功能。它可以阻止不良軟件弄亂重要的系統文件。將其視為 Mac 核心軟件的安全衛士。 CVE-2024-44243 可能會讓攻擊者溜過這個守衛。然後他們可以安裝很難檢測和刪除的惡意軟件。
內核擴展的作用
內核擴展是小段代碼。他們為 macOS 添加了額外的功能。該漏洞允許攻擊者加載錯誤的內核擴展。這就是他們安裝 rootkit 的方法。一旦 Rootkit 就位,攻擊者就擁有很大的權力。他們可以監視您、竊取數據,甚至完全接管您的 Mac。
參見:Microsoft Outlook 總是崩潰?查看這 8 項修復 (2024)
影響和緩解
該漏洞為具有 root 權限的攻擊者提供了繞過 SIP 的方法。這使得他們能夠加載惡意內核擴展。這是一件大事,因為它破壞了 macOS 的一項關鍵安全功能。 Apple 已在 macOS Sequoia 15.2 中發布了補丁。更新 Mac 對於確保安全至關重要。
技術細節和時間表
微軟發現了這個問題並將其告知了蘋果。這種負責任的披露有助於保護用戶的安全。蘋果公司隨後進行了修復。整個過程表明,安全研究人員和軟件公司的合作是多麼重要。
關鍵方面的比較
| 特徵 | 描述 |
|---|---|
| CVE-2024-44243 | macOS 漏洞的標識符。 |
| 系統完整性保護 (SIP) | macOS 中保護系統文件的安全功能。 |
| Rootkit | 隱藏其存在並授予未經授權的訪問的惡意軟件。 |
| 內核擴展 | 為 macOS 添加額外功能的代碼。 |
| macOS 紅杉 15.2 | 包含此漏洞補丁的 macOS 版本。 |
簡短摘要:
- 新發現的漏洞可以讓本地攻擊者繞過系統完整性保護(SIP)。
- 利用該漏洞可能會導致永久惡意軟件的安裝和 Rootkit 的部署。
- Apple 已在 macOS 的最新更新中修復了此漏洞。
Microsoft 披露了有關 macOS 中新發現的安全漏洞的信息,該漏洞的標識符為 CVE-2024-44243。此缺陷帶來了重大風險,因為它允許具有 root 權限的本地攻擊者繞過系統完整性保護 (SIP),這是一項重要的安全功能,旨在保護關鍵系統區域免遭修改,即使是具有 root 級別訪問權限的用戶也是如此。正如 Microsoft 所強調的那樣,此漏洞可能會促進 Rootkit 或惡意內核驅動程序的安裝,從而可能導致受影響的設備上出現持久且不可刪除的惡意軟件。
微軟首席安全研究員 Jonathan Bar Or 解釋了這一缺陷的影響,他表示:
“繞過 SIP 可能會導致嚴重後果,例如增加攻擊者和惡意軟件作者成功安裝 Rootkit、創建持久性惡意軟件、繞過透明、同意和控制 (TCC) 以及擴大其他技術和漏洞攻擊的攻擊面的可能性。”
該聲明強調了該漏洞的潛在嚴重性以及及時解決該漏洞的重要性。
系統完整性保護,通常稱為 SIP 或“無根”,是 macOS El Capitan 中引入的一種安全協議。其主要功能是通過防止應用程序進行未經授權的修改來保護核心 macOS 組件,即使它們以 root 權限運行也是如此。這包括關鍵目錄,例如 /System、/usr、/bin、/sbin 以及與預安裝應用程序相關的其他目錄。 SIP 僅允許 Apple 簽名的進程或具有特定權利(例如軟件更新)的進程修改敏感系統文件。
在解釋該漏洞的技術方面時,確定 CVE-2024-44243 利用了存儲套件守護程序的授權功能,具體來說,com.apple.rootless.install.heritable。此權利允許進程在不進行充分驗證的情況下調用任意操作,從而在受保護的目錄中部署有害的文件系統包。利用的一個關鍵點包括替換與磁盤實用程序關聯的二進製文件的能力,然後可以在磁盤管理任務(例如修復)期間激活該二進製文件。
吧還是詳細的利用過程:
“由於可以以 root 身份運行的攻擊者可以將新的文件系統包刪除到 /Library/Filesystems,因此他們稍後可以觸發 storagekitd 生成自定義二進製文件,從而繞過 SIP。在新創建的文件系統上觸發擦除操作也可以繞過 SIP 保護。”
這種方法表明了一種規避傳統安全協議的複雜方法。
此漏洞是在 Microsoft 發現的另一個有關 Apple TCC 框架的相關問題之後出現的,該問題也獲得了 CVE 指定 (CVE-2024-44133)。微軟強調,發現的能夠破壞 macOS 安全機制的漏洞的趨勢值得注意,並強調了之前發現的問題,例如“Shrootless”(CVE-2021-30892) 和“Migraine”(CVE-2023-32369),它們也切斷了 SIP 保護。
專家斷言,利用 CVE-2024-44243 將使攻擊者能夠直接訪問並修改操作系統的受保護區域。這種恐懼不僅僅局限於直接的漏洞,因為繞過 SIP 措施的能力會導致一系列惡意活動,包括創建無法檢測到的惡意軟件,這些惡意軟件即使在典型的刪除過程之後仍然存在於系統中。
鑑於此安全漏洞的嚴重性,Apple 已迅速做出反應,將修復程序集成到 2024 年 12 月 11 日發布的最新 macOS Sequoia 15.2 更新中。敦促 macOS 用戶立即安裝此更新,以降低潛在風險並恢復系統完整性。
微軟在披露的內容中強調了系統完整性保護在保護 macOS 設備方面發揮的關鍵作用。酒吧或維持,
“SIP 是抵禦惡意軟件、攻擊者和其他網絡安全威脅的重要保障,為 macOS 系統建立了基本的保護層。”
繞過這樣一個關鍵系統的故障保護,會讓人對操作系統抵禦複雜攻擊的整體可靠性產生疑問。
CVE-2024-44243 的出現說明了 macOS 中漏洞的動態性質,迫使用戶和開發人員在網絡安全工作中保持警惕和主動。隨著傳統安全防禦與更複雜的攻擊向量作鬥爭,重點轉向增強對特殊授權進程產生的異常行為的檢測能力。
安全專家主張採取綜合措施,建議組織和個人用戶不僅及時應用軟件更新,還要持續監控系統是否有新漏洞。未被發現的攻擊的影響可能很嚴重,會削弱信任並導致嚴重的運營中斷。
