微軟發現Shrootless安全漏洞 揭露macOS可被安裝rootkit

由微軟研究人員發現的一個可讓駭客在MacOS安裝惡意核心驅動程式或rootkit的漏洞,不過蘋果已經修補了這項漏洞。

由微軟研究人員發現的一個可讓駭客在macOS安裝惡意核心驅動程式或rootkit的漏洞,不過蘋果已經修補了這項漏洞。

這個漏洞位於macOS System Integrity Protection (SIP),使攻擊者得以安裝rootkit、覆寫系統檔案、或安裝潛伏的惡意程式。

微軟因為愈來愈多企業客戶在混合環境下同時使用Windows及macOS系統,而開始研究macOS的安全問題。微軟Microsoft 365 Defender Research研究員Johnathan Bar Or指出,隨著網路愈來愈異質化,以非Windows系統為目標的威脅數量也同時提升。

SIP是蘋果在2015年為macOS加入的功能,利用蘋果沙箱工具,使具根權限的使用者帳號不得修改受保護的資料夾和檔案,以免危害系統完整性。SIP僅允許獲得蘋果簽章,或是有特殊許可(entitlement)的行程(例如蘋果自己的軟體更新和安裝器)修改macOS上受保護的資料夾和檔案。

微軟發現的「Shrootless」安全漏洞則是出在由蘋果簽發、具備安裝(post-install)後下指令的套件。system_installd daemon精靈 具有com.apple.rootless.install.inheritable 許可,講白話,就是讓任何子行程都能完全繞過SIP的限制。一旦繞過SIP防護,攻擊者就能在macOS上安裝惡意核心rootkit、覆寫系統檔案、安裝長期潛伏的木馬程式或其他惡意程式。

此漏洞被列為CVE-2021-30892,影響macOS Monterey (12.0.1)及Catalina、Big Sur,蘋果也已修補該漏洞。微軟認為這是極危險的漏洞,給它起了「shrootless」的外號。

安全專家指出,對微軟而言,在Windows安裝rootkit的漏洞影響遠比擴大執行權限到根權限的漏洞來得危險,這也說明了微軟何以反映如此積極。

來源:Bleeping Computer

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2021 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416