新的漏洞让攻击者绕过 macOS 系统完整性保护 媒体

关键要点

最近发现一个中等严重性的漏洞，该漏洞可能允许攻击者通过加载第三方内核扩展来绕过 Apple 备受推崇的系统完整性保护SIP功能。

根据微软威胁情报在 1 月 13 日的博客文章的说法，绕过 SIP 可能导致严重后果，例如使攻击者更容易安装根套件、创建持久性恶意软件、绕过 Apple 的透明度、同意与控制TCC，并扩大其他漏洞的攻击面。

飞兔加速器免费

针对该漏洞的修复程序 CVE202444243 已包含在 Apple 于 12 月 11 日发布的安全更新中，此次更新是在微软与位于加利福尼亚州库比蒂诺的 Apple 分享研究结果后发布的。

Jamf 威胁实验室主任 Jaron Bradley 解释说，许多 Apple 的安全措施是基于假设攻击者不能绕过 SIP，因此任何成功的 SIP 漏洞利用具有极高的重要性。“虽然找到 SIP 的攻击方式具有挑战性，但它仍然是漏洞研究人员和攻击者梦寐以求的目标，”Bradley 表示。“通常，攻击者依赖社交工程技巧来诱使用户与一些操作系统的提示进行互动。然而，成功利用 SIP 漏洞可以让攻击者绕过这些提示，隐藏恶意文件在系统的受保护区域，从而获得更深层次的访问权限。”

Qualys 威胁研究组的安全研究经理 Mayuresh Dani 表示，绕过 SIP 可能使威胁行为者安装根套件或类似功能，从而在易受攻击的系统上创建持久后门。Dani 认为，安全团队应主动监控具有特殊权限的进程，因为攻击者可以利用这些权限绕过 SIP。他补充说，团队还应保持对这些进程行为的监控，并限制造用第三方内核扩展的应用程序。“这些应仅在绝对必要时启用，并且要有严格的监控指南，”Dani 说道。

Dispersive 副总裁 Lawrence Pingree 补充说，这是一个示例，提醒人们认识到所有操作系统都有漏洞。尽管 Apple 一直在维护安全性方面做得很好，包括其内部授权和隔离权限系统的设计，但 Pingree 表示，研究人员随时可能发现新的漏洞。“尽快修补是最佳解决方案，依赖可靠的灾难恢复计划对当今的运营至关重要，”Pingree 表示。“我们需要在发布补丁方面变得更加高效，并在遭遇坏补丁时更依赖快速恢复，例如在 CrowdStrike 停机事件中。我们需要集中精力快速恢复，以引入实时补丁和动态补丁技术，同时实施零信任隔离、区块和微分段策略。”