最近,微软发现了苹果macOS有一个系统“Shrootless”漏洞(CVE-2021-30892),攻击者可以利用漏洞绕过操作系统的系统完整性保护(SIP),然后执行任何代码。
例如绕过 SIP 防护措施后,攻击者可以安装 rootkit 和不可检测的恶意软件,甚至覆盖系统文件而不被 覆盖SIP 给阻止。
苹果系统完整性保护macOS安全功能最早出现在系统中OS X El Capitan,它由许多核心强制执行的机制组成。其主要功能是保护系统文件和目录,以免修改这些文件和目录,包括没有特定权限的过程root用户或拥有root权限用户。
微软安全研究人员(MSVR)攻击者可以创建一个特殊的文件来劫持安装过程。
“在苹果绕过SIP保护的macOS在这个过程中,我们(微软安全团队)发现了防护过程 system_installd 有很强的 com.apple.rootless.install.inheritable 权限。获得此权限后,攻击者可以使用它system_installd绕过任何子过程SIP限制文件系统。”
正是通过这一发现,微软安全研究人员找到了它macOS保护漏洞的系统完整性。
随后,微软安全研究人员根据以下算法进行了相关工作POC内核扩展排除列表覆盖漏洞测试:
- 使用 wget下载一个带有苹果签名和安装脚本的软件包;
- 植入 ///etc/zshenv 恶意文件检查父亲的过程;system_installd 调用默认 shell运行它们;
- 攻击者可以通过创建可劫持安装过程中的自定义软件包来实现恶意目标。
幸运的是,在微软报报漏洞后,苹果最近发布了安全漏洞的修复方法,并公布了相关补丁。macOS Monterey、Catalina 和 Big Sur在 的安全补丁中,苹果感谢微软。