近日,微软发现苹果macOS系统存在“Shrootless”漏洞(CVE-2021-30892),攻击者可利用该漏洞绕过系统完整性保护操作系统(SIP)执行任意代码。例如,在绕过SIP保护后,攻击者可以安装Rootkit和无法检测的恶意软件,甚至覆盖系统文件而不会被SIP阻止。系统完整性保护是苹果macOS系统中的一项安全功能,最早出现在OSXElCapitan中,由许多内核强制机制组成。它的主要功能是保护系统文件和目录不被没有特定权限的进程修改,包括root用户或具有root权限的用户。根据Microsoft安全研究人员(MSVR)的说法,攻击者可以创建一个特制文件来劫持安装过程。“当Apple绕过受SIP保护的macOS进程时,我们(微软安全团队)发现守护进程system_installd具有强大的com.apple.rootless.install.inheritable权限。在获得此权限后,攻击者可以利用system_installd进程的任何子进程绕过SIP文件系统的限制。”正是通过这一发现,微软安全研究人员发现了macOS系统完整性保护漏洞,随后,微软安全研究人员基于以下算法进行了相关的POC漏洞测试,覆盖了内核扩展排除列表:使用wget下载苹果签名的包并有一个安装后脚本;在这个包中植入/etc/zshenv恶意文件以检查父进程;system_installd通过调用默认shell来运行它们;攻击者可以通过创建劫持安装过程的自定义包来利用此机制进行恶意目的。幸运的是,在微软报告该漏洞后,苹果已经发布了该安全漏洞的修复方法,相关补丁也已经公布,在macOSMonterey、Catalina、BigSur的安全补丁说明中,苹果对微软表示感谢。
