吳明宜蘋果近日修補了一個讓駭客得以繞過系統完整性防護 (System Integrity Protection, SIP) 而安裝惡意核心驅動程式的 macOS 漏洞。
系統完整性防護 (SIP) 又名 rootless,是 macOS 安全功能之一,可限制根用戶 (root) 帳號在受保護區域的權限,以防範惡意軟體變更特定資料夾和檔案。 SIP 只允許獲得蘋果簽章的行程,或是具有特別許可的行程,像是蘋果軟體更新才能修改 macOS 中受防護的元件。惡意程式關閉 SIP 一般需要重啟系統,並從 macOS Recovery(內建的回復系統)開機,而這需要能實際接觸蘋果電腦。
微軟研究人員發現 macOS 一個安全漏洞,位於處理磁碟狀態維持的 Storage Kit Daemon 中,編號 CVE-2024-44243 。
這個漏洞只能由具有根權限的本機攻擊者濫用,需要使用者互動才能啟動攻擊。但若成功濫用本漏洞,攻擊者就能繞過 SIP 的防護,不需實際接觸到 macOS 電腦即能安裝 rootkit(核心驅動程式)、建立能長期潛伏在電腦無法刪除的惡意程式,或是繞過 macOS 的「透明、同意和控制 (Transparency, Consent and Control, TCC)」安全檢查,進而存取受害者資料。
微軟通報後,蘋果已經在 2024 年 12 月 11 日發佈 macOS Sequoia 15.2 解決該漏洞。
微軟警告,繞過 SIP 將影響整個 macOS 的安全性,可能導致嚴重後果,這也突顯能偵測高權限行程異常行為的完整安全解決方案有其必要性。
這是微軟偵測到的最新 macOS 安全檢查繞過漏洞。 2021 年微軟通報了一隻名為 Shrootless (CVE-2021-30829),也能讓攻擊者在受害 Mac 電腦上執行任意行為,像是安裝 rootkit,同年還有可繞過 TCC 防護的漏洞 powerdir (CVE-2021-30970) 。近二年則分別有 Migraine (CVE-2023-32369) SIP 繞過漏洞,以及 Achilles (CVE-2022-42821),後者則讓不安全的應用程式繞過 Gatekeeper 安全功能,而部署惡意軟體。