微軟發現Shrootless安全漏洞 揭露macOS可被安裝rootkit
由微軟研究人員發現的一個可讓駭客在macOS安裝惡意核心驅動程式或rootkit的漏洞,不過蘋果已經修補了這項漏洞。
這個漏洞位於macOS System Integrity Protection (SIP),使攻擊者得以安裝rootkit、覆寫系統檔案、或安裝潛伏的惡意程式。
微軟因為愈來愈多企業客戶在混合環境下同時使用Windows及macOS系統,而開始研究macOS的安全問題。微軟Microsoft 365 Defender Research研究員Johnathan Bar Or指出,隨著網路愈來愈異質化,以非Windows系統為目標的威脅數量也同時提升。
SIP是蘋果在2015年為macOS加入的功能,利用蘋果沙箱工具,使具根權限的使用者帳號不得修改受保護的資料夾和檔案,以免危害系統完整性。SIP僅允許獲得蘋果簽章,或是有特殊許可(entitlement)的行程(例如蘋果自己的軟體更新和安裝器)修改macOS上受保護的資料夾和檔案。
微軟發現的「Shrootless」安全漏洞則是出在由蘋果簽發、具備安裝(post-install)後下指令的套件。system_installd daemon精靈 具有com.apple.rootless.install.inheritable 許可,講白話,就是讓任何子行程都能完全繞過SIP的限制。一旦繞過SIP防護,攻擊者就能在macOS上安裝惡意核心rootkit、覆寫系統檔案、安裝長期潛伏的木馬程式或其他惡意程式。
此漏洞被列為CVE-2021-30892,影響macOS Monterey (12.0.1)及Catalina、Big Sur,蘋果也已修補該漏洞。微軟認為這是極危險的漏洞,給它起了「shrootless」的外號。
安全專家指出,對微軟而言,在Windows安裝rootkit的漏洞影響遠比擴大執行權限到根權限的漏洞來得危險,這也說明了微軟何以反映如此積極。