發現 CVE-2024-44243 macOS 漏洞

仔細研究 CVE-2024-44243

蘋果的 macOS 長期以來一直以其強大的安全機製而聞名，但偶爾也會出現漏洞，需要迅速介入。最近，macOS Sequoia 15.2 更新中解決了此類問題 CVE-2024-44243。這一中等嚴重程度的缺陷涉及配置錯誤，如果被利用，可能會允許對受保護的系統檔案進行未經授權的修改，從而繞過 macOS 的系統完整性保護 (SIP)。

SIP，也稱為無根，是一種安全功能，旨在防止對作業系統關鍵部分進行未經授權的更改。它限制某些系統目錄的修改，除非它們來自 Apple 簽署的進程。透過繞過 SIP，攻擊者可能會獲得對系統的更深層次的控制，從而可能導致未經授權的軟體安裝、持續的威脅和系統受損。

該漏洞的影響

CVE-2024-44243 圍繞著一個名為 Storage Kit 守護程式 (storagekitd) 的元件，該元件擁有允許其繞過 SIP 限制的權利。研究人員發現，該守護程序可以在未經充分驗證的情況下被操縱啟動任意進程，從而使攻擊者能夠引入未經授權的核心擴展。由於這些進程繼承了 storagekitd 的 SIP 繞過功能，因此它們可以修改本應受到保護的系統檔案。

一種關鍵的利用方法包括將新的檔案系統套件插入受保護的目錄中，覆蓋關鍵元件，例如磁碟公用程式使用的元件。這可能允許攻擊者在合法系統進程的幌子下觸發惡意操作，進一步擴大他們在作業系統中的影響範圍。

攻擊者可以實現什麼目標？

雖然 CVE-2024-44243 要求攻擊者已經擁有 root 權限，但其影響仍然值得注意。透過利用此漏洞，攻擊者可以：

• 部署未經授權的核心擴展，可能嵌入根深蒂固的持久軟體。
• 繞過 macOS 內建的安全限制，削弱作業系統的完整性。
• 規避 Apple 的透明度、同意和控制 (TCC) 框架，該框架負責管理應用程式權限和使用者互動。
• 透過將未經授權的文件放置在受保護區域來隱藏惡意活動，從而使檢測變得更加困難。

如果 SIP 遭到破壞，macOS 的許多安全假設將不再成立，從而允許進一步的攻擊，從而在不被發現的情況下操縱系統行為。

更大的圖景：為什麼這很重要

繼 CVE-2021-30892 和 CVE-2023-32369 等先前的問題之後，CVE-2024-44243 是針對 SIP 的一系列安全缺陷中的最新一個。這凸顯了安全研究人員不斷努力識別和修補可能削弱 macOS 安全模型的缺陷。鑑於 SIP 是保護系統完整性的基礎，任何成功的繞過都會引起安全專業人員的嚴重關注。

此外，此案例凸顯了 macOS 安全性方面持續存在的權衡。雖然阻止第三方核心擴展可以增強系統穩定性，但它也限制了安全工具監控核心層級活動的能力。如果攻擊者成功繞過 SIP，他們就可以隨意停用安全防禦並在不被發現的情況下進行操作。

使用者如何保持安全

Apple 的安全措施仍然穩健，該公司透過發布 macOS Sequoia 15.2 迅速解決了 CVE-2024-44243。為了降低風險，用戶應確保：

• 保持 macOS 更新以接收最新的安全性修補程式。
• 避免從不信任的來源下載可能提升攻擊者權限的軟體。
• 啟用 macOS 的內建安全功能（例如 Gatekeeper 和 XProtect），以防止未經授權的軟體執行。

安全研究人員強調，雖然 SIP 繞過漏洞需要事先存取系統，但透過謹慎瀏覽和軟體安裝來防止初始洩漏仍然是至關重要的防禦措施。

最後的想法

CVE-2024-44243 提醒用戶，即使是像 macOS 這樣安全性良好的系統也需要隨時保持警覺。透過及時解決此漏洞，Apple 加強了對系統安全的承諾。對於用戶來說，保持更新並練習網路安全意識仍然是抵禦潛在威脅的最佳防禦措施。隨著攻擊者不斷尋求繞過保護的新方法，主動安全實踐將在確保設備安全方面發揮至關重要的作用。