微軟發現 Shrootless 安全漏洞 揭露 macOS 可被安裝 rootkit
由微軟研究人員發現的一個可讓駭客在 macOS 安裝惡意核心驅動程式或 rootkit 的漏洞,不過蘋果已經修補了這項漏洞。
這個漏洞位於 macOS System Integrity Protection (SIP),使攻擊者得以安裝 rootkit、覆寫系統檔案、或安裝潛伏的惡意程式。
微軟因為愈來愈多企業客戶在混合環境下同時使用 Windows 及 macOS 系統,而開始研究 macOS 的安全問題。微軟 Microsoft 365 Defender Research 研究員 Johnathan Bar Or 指出,隨著網路愈來愈異質化,以非 Windows 系統為目標的威脅數量也同時提升。
SIP 是蘋果在 2015 年為 macOS 加入的功能,利用蘋果沙箱工具,使具根權限的使用者帳號不得修改受保護的資料夾和檔案,以免危害系統完整性。SIP 僅允許獲得蘋果簽章,或是有特殊許可 (entitlement) 的行程(例如蘋果自己的軟體更新和安裝器)修改 macOS 上受保護的資料夾和檔案。
微軟發現的「Shrootless」安全漏洞則是出在由蘋果簽發、具備安裝 (post-install) 後下指令的套件。system_installd daemon 精靈 具有 com.apple.rootless.install.inheritable 許可,講白話,就是讓任何子行程都能完全繞過 SIP 的限制。一旦繞過 SIP 防護,攻擊者就能在 macOS 上安裝惡意核心 rootkit、覆寫系統檔案、安裝長期潛伏的木馬程式或其他惡意程式。
此漏洞被列為 CVE-2021-30892,影響 macOS Monterey (12.0.1) 及 Catalina、Big Sur,蘋果也已修補該漏洞。微軟認為這是極危險的漏洞,給它起了「shrootless」的外號。
安全專家指出,對微軟而言,在 Windows 安裝 rootkit 的漏洞影響遠比擴大執行權限到根權限的漏洞來得危險,這也說明了微軟何以反映如此積極。