揭秘 CVE-2024-44243 macOS 漏洞

深入研究 CVE-2024-44243

苹果的 macOS 一直以其强大的安全机制而闻名，但偶尔也会有漏洞出现，需要迅速干预。其中一个漏洞 CVE-2024-44243 最近在 macOS Sequoia 15.2 更新中得到解决。这个中等严重程度的漏洞涉及一个配置错误，如果被利用，可能会允许未经授权修改受保护的系统文件，从而绕过 macOS 的系统完整性保护 (SIP)。

SIP 也称为 rootless，是一种安全功能，旨在防止对操作系统关键部分进行未经授权的更改。它限制对某些系统目录的修改，除非这些修改来自 Apple 签名的进程。通过绕过 SIP，攻击者可能会对系统进行更深入的控制，从而可能导致未经授权的软件安装、持续威胁和系统入侵。

漏洞的影响

CVE-2024-44243 以名为 Storage Kit 守护进程 (storagekitd) 的组件为中心，该组件拥有绕过 SIP 限制的权限。研究人员发现，攻击者可以操纵此守护进程来启动未经充分验证的任意进程，从而使攻击者能够引入未经授权的内核扩展。由于这些进程继承了 storagekitd 的 SIP 绕过功能，因此它们可以修改原本受保护的系统文件。

一种关键的利用方法是将新的文件系统包插入受保护的目录，覆盖磁盘实用程序使用的关键组件。这可能允许攻击者以合法系统进程的名义触发恶意操作，从而进一步扩大其在操作系统中的影响力。

攻击者可以实现什么？

虽然 CVE-2024-44243 要求攻击者已经拥有 root 权限，但其影响仍然值得注意。通过利用此漏洞，攻击者可以：

• 部署未经授权的内核扩展，可能会嵌入根深蒂固的持久软件。
• 绕过 macOS 的内置安全限制，削弱操作系统的完整性。
• 逃避 Apple 的透明度、同意和控制 (TCC) 框架，该框架规范应用程序权限和用户交互。
• 通过将未经授权的文件放置在受保护的区域来隐藏恶意活动，使检测更加困难。

如果 SIP 受到损害，macOS 的许多安全假设将不再成立，从而允许进一步的攻击在不被发现的情况下操纵系统行为。

大局观：为什么这很重要

CVE-2024-44243 是针对 SIP 的一系列安全漏洞中的最新一个，此前的漏洞包括 CVE-2021-30892 和 CVE-2023-32369。这凸显了安全研究人员不断努力识别和修补可能削弱 macOS 安全模型的漏洞。鉴于 SIP 是保护系统完整性的基础，任何成功的绕过都会给安全专业人员带来重大担忧。

此外，此案还凸显了 macOS 安全性方面持续存在的权衡。虽然阻止第三方内核扩展可以增强系统稳定性，但它也限制了安全工具在内核级别监控活动的能力。如果攻击者成功绕过 SIP，他们可能会自由地禁用安全防御并进行不被发现的操作。

用户如何保证安全

Apple 的安全措施依然强大，该公司在发布 macOS Sequoia 15.2 时迅速解决了 CVE-2024-44243 问题。为了降低风险，用户应确保：

• 保持 macOS 更新以接收最新的安全补丁。
• 避免从不受信任的来源下载软件，因为这可能会提升攻击者的权限。
• 启用 macOS 的内置安全功能，例如 Gatekeeper 和 XProtect，以防止未经授权的软件执行。

安全研究人员强调，虽然 SIP 绕过漏洞需要事先访问系统，但通过谨慎浏览和软件安装来防止最初的入侵仍然是关键的防御措施。

最后的想法

CVE-2024-44243 提醒用户，即使是像 macOS 这样安全性极高的系统也需要时刻保持警惕。通过及时解决此漏洞，Apple 加强了对系统安全的承诺。对于用户来说，保持更新并练习网络安全意识仍然是抵御潜在威胁的最佳防御措施。随着攻击者继续寻求绕过保护的新方法，主动安全实践将在确保设备安全方面发挥至关重要的作用。