SIP 绕过漏洞允许攻击者在 macOS 上安装 Rootkit（CVE-2024-44243）

锋刃科技 2025-01-17 14:01

该漏洞影响 Apple macOS 操作系统，特别是 System Integrity Protection (SIP) 机制。SIP 是 macOS 上的一项安全防护功能，旨在保护系统核心文件和目录（如 /System、/usr、/bin 等）不受恶意软件或未经授权的修改。即使攻击者拥有 root 权限，SIP 也会限制对这些受保护部分的访问。

01 漏洞描述

漏洞类型：
SIP 绕过漏洞允许攻击者在 macOS 上安装 Rootkit（CVE-2024-44243）

CVSS：
5.5

漏洞细节：
– 漏洞存在于 macOS 中的 Storage Kit 守护进程（storagekitd），该进程使用了 com.apple.rootless.install.heritable 权限，允许绕过 SIP 保护。

• 具体利用方式是攻击者通过该权限能够绕过 SIP 的限制，修改和覆盖系统文件。
  例如，攻击者可以将恶意文件系统包注入到 /Library/Filesystems 目录，然后利用 storagekitd 进程触发这些恶意二进制文件。

• 这些恶意二进制文件可以用来执行特定操作，例如 磁盘修复，并在过程中绕过 SIP 保护机制。

• 漏洞的利用者一旦能够获得 root 权限，就可以通过修改文件系统、注入恶意代码，进而绕过 SIP 实现持久的控制，安装 rootkit 或其他恶意驱动程序，甚至在操作系统重启后仍然保持存在。

02漏洞影响范围

受影响版本:

macOS < Sequoia 15.2

修复版本：

macOS ≥ 
Sequoia 15.2

03漏洞修复方案

更新至最新版本

Apple 已在 macOS Sequoia 15.2 中修复了此漏洞，建议所有用户尽快将系统更新到该版本或更高版本，以解决该漏洞带来的风险。

提高权限管理和安全配置

禁止不必要的 root 权限，限制对系统关键部分的访问。

在使用管理员账户时，确保只有经过验证的、信任的程序能够执行系统级操作。

加强对系统文件的保护

除了启用 SIP 外，还可以考虑使用额外的安全措施，如 全盘加密、防火墙、实时监控 等。

监控和检测

使用安全软件和工具进行持续的漏洞扫描和入侵检测，特别是针对 SIP 绕过、恶意驱动程序和内核级别的攻击。

定期检查安全更新

用户应定期检查 Apple 提供的安全更新，并在有漏洞修复时立即进行安装，以避免受到类似攻击。

04 参考链接

https://finance.sina.com.cn/tech/roll/2025-01-14/doc-ineexptv1089726.shtml

END