研究人员发现了一个中危漏洞，攻击者可通过加载第三方内核扩展，绕过macOS中备受苹果重视的系统完整性保护（SIP）。

微软威胁情报中心在1月13日的博客文章中指出，绕过SIP可能会导致严重后果，例如使攻击者更容易安装rootkit、创建持久性恶意软件、绕过苹果的透明度、同意和控制（TCC）机制，并扩大攻击面以利用其他漏洞。

在微软向总部位于加利福尼亚州库比蒂诺的苹果公司分享其发现后，苹果于12月11日发布的安全更新中包含了针对漏洞CVE-2024-44243的修复措施。

Jamf威胁实验室主管贾伦·布拉德利解释说，苹果的许多安全措施都是基于攻击者无法绕过SIP的假设，因此任何成功利用SIP的行为都具有重大意义。“尽管找到SIP的利用方法颇具挑战，但它仍是漏洞研究人员和攻击者梦寐以求的目标，”布拉德利说，“通常，攻击者会利用社会工程技术诱骗用户与操作系统的一些提示进行交互。然而，利用SIP可以让攻击者绕过这些提示，将恶意文件隐藏在系统的受保护区域中，并可能获得更深层次的访问权限。”

Qualys威胁研究部门安全研究经理马尤雷什·达尼表示，绕过SIP可使威胁行为者安装rootkit和类似功能的软件，从而在易受攻击的系统上建立持久的后门。

达尼指出，安全团队应主动监控具有特殊权限的进程，因为攻击者可能会利用这些进程来绕过SIP。达尼还表示，团队还应监控这些进程的行为，并建议安全专业人员应限制使用第三方内核扩展的应用程序。“这些功能只有在绝对必要时才应启用，并遵循严格的监控准则，”达尼说。

Dispersive公司副总裁劳伦斯·平格里补充说，这是另一个例子，说明人们需要认识到所有操作系统都存在漏洞。

尽管苹果长期以来在维护安全方面做得很好，包括其内部授权和隔离权限系统的设计，但平格里表示，研究人员随时可能发现新的漏洞。“尽快打补丁是最好的解决办法，而依赖一个可靠的灾难恢复计划对于当前的运营至关重要，”平格里说，“我们需要更擅长发布补丁，并在补丁出现问题时更加依赖快速恢复，就像在CrowdStrike宕机事件中那样。我们需要专注于快速恢复，以推动实时补丁和在线补丁技术与零信任隔离、安全飞地和微分段策略相结合。”