苹果修复了微软研究人员发现的一个漏洞，该漏洞允许具有root权限的攻击者绕过系统完整性保护（SIP）。

来自微软的研究人员发现了一个漏洞，跟踪为CVE-2023-32369，并被称为Migraine，它可以允许具有root权限的攻击者绕过系统完整性保护（SIP）。

系统完整性保护（也称为无根）是在OS X El Capitan（2015）中引入的macOS安全功能。操作系统版本（OS X 10.11）SIP技术限制root用户执行可能危及系统完整性的操作。

一旦攻击者绕过SIP根限制，它可以安装”无法删除”和持久性恶意软件，并访问设备上的敏感数据。

根据设计，SIP仅允许由Apple或具有特殊权限的人（即Apple软件更新和Apple安装程序）签名的进程修改macOS的这些受保护部分。

研究人员报告说，一个威胁演员可以创建一个特制的文件，将劫持安装过程。

根据苹果的建议，这个逻辑问题可以被一个应用程序利用来修改文件系统的受保护部分。这个IT巨头认为微软的Jonathan Bar Or，微软的Anurag Bohra和微软的Michael Pearse报告了这个漏洞。

苹果已经通过发布macOS文图拉13.4、macOS蒙特雷12.6.6和macOS大苏尔11.7.7的安全更新来解决该漏洞。

研究人员指出，关闭在线系统上的SIP是不可能的。禁用SIP的唯一方法是使用恢复操作系统重新启动系统，这需要物理访问设备。

只有由Apple或那些拥有特殊权利（授予可执行特定功能的权利或特权）的人签署的进程，如Apple软件更新和安装程序，才能更改受macOS保护的组件。

来自微软的研究人员滥用macOS Migration Assistant实用程序来绕过SIP保护。

“在一次例行的恶意软件搜索中，我们发现了一个名为drop_sip的二进制文件的执行情况。”微软发布的分析报告写道。以为我们发现了一个野生利用，我们发现这是一个苹果签署的二进制驻留本地在/系统/库/私有框架
/SystemMigrationUtils.framework/资源/工具/drop_sip路径下。

“由于这种行为，我们推断drop_sip进程假定它可以绕过SIP。但是，由于drop_sip不具有任何绕过SIP的权限，因此我们得出结论，它必须继承这种能力。我们发现它的父进程是system migration ond，这是一个旨在处理迁移场景的守护进程，但最重要的是，它被赋予可继承的权利允许其子进程绕过SIP安全检查的”

专家们发现，macOS迁移助理实用程序使用system migration daemon，它能够绕过SIP，因为它被授予
com.apple.rootless.install.heritable权利。

研究人员能够使用AppleScript自动化该漏洞，并执行旨在运行没有SIP文件系统限制的恶意代码，而无需重新启动系统并从macOS恢复启动。

下面是一个视频POC，显示了该漏洞的利用：

https://www.microsoft.com/en-us/videoplayer/embed/RW14MaR

任意绕过系统完整性保护（SIP）的后果可能非常危险，恶意软件开发人员可以利用它来：

1、创建无法删除的恶意软件：攻击者可以创建带有“com.apple.rootless”扩展属性的文件，或者用它覆盖现有的文件。这些文件然后由SIP保护，不能通过普通手段删除。Microsoft Defender for Endpoint等安全解决方案依赖于隔离恶意软件，无法隔离受SIP保护的文件。这种限制强调了解决SIP旁路以确保有效的恶意软件遏制和安全措施的重要性。

2、扩展用户和内核攻击者技术的攻击面：攻击者可以获得任意内核代码执行。由于Apple缓慢地不允许第三方内核扩展，并将Mac生态系统过渡到它们的终端安全框架，安全解决方案将不再能够监视内核的恶意活动，包括恶意代码执行。

3、篡改系统的完整性，有效地启用rootkit：这是对任意内核代码执行的派生–一旦攻击者建立了内核代码执行，就可以使用某些高级Rootkit技术，例如向所有监视工具隐藏进程或文件。这些技术还可能包括绕过恶意篡改保护，这对于Microsoft Endpoint防御免受威胁非常重要。

4、完全TCC旁路：攻击者可以替换控制透明、同意和控制策略(TCC.db)的数据库，从而使未经授权的应用程序能够不受限制地访问敏感数据和连接的设备。

这不是微软第一次在macOS中发现允许具有root权限的攻击者绕过SIP的漏洞。2021年10月，微软发现了一个被称为Shrootless（CVE-2021-30892）的漏洞，该漏洞可以允许攻击者绕过系统完整性保护（SIP）并执行恶意活动，例如获得root权限并在易受攻击的设备上安装rootkits。