苹果新漏洞 “Shrootless” 可使攻击者在macOS 系统上安装后门

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

微软 365 Defender 研究团队的研究员 Jonathan Bar Or 指出，该漏洞被称为 “Shrootless”，是由“苹果签名安装了安装后脚本的程序包方式“引发的。他表示，”恶意人员可创建特殊构造的文件，劫持安装流程。”

系统完整性防护 (SIP) 即 “rootless” 是在 OS X EI Capitan 中引入的安全特性，旨在通过限制 root 用户执行越权代码或执行可能攻陷系统完整性的操作来保护 macOS 操作系统。

具体而言，SIP 允许修改系统的受保护部分如 /System、/usr、/bin、/sbin 和 /var，且修改只能由苹果签名的进程或具有特别的系统文件写权利的进程如苹果软件更新和苹果安装程序进行修改，同时自动授权从 Mac App Store 中下载的应用。

微软在调查可绕过 SIP 防护措施的 amcOS 进程中发现，软件安装守护进程 “system_installd” 能够启用任意子进程，从而完全规避 SIP 文件系统限制。因此，当安装由苹果签名的程序包时会触发 system_installed 守护进程，而该守护进程会通过调用一个默认 shell （macOS 上的 Z shell，即 zsh）执行包含在程序包中的任意安装后脚本。

他指出，“有意思的是，当zsh 启动时会查找文件 /etc/zshenv，而且如找到，则会自动运行文件中的命令，甚至在非交互性模式下也不例外。因此，攻击者在设备上执行任意操作时，他们能够采用的完全可靠路径是创建恶意 /etc/zshenv 文件并等待 system_installd 来调用 zsh。“

CVE-2021-30892 如遭成功利用，则可导致恶意应用修改文件系统的受保护部分，包括安装恶意内核驱动（即rootkit）的能力、覆写系统文件或安装可持久的、无法检测的恶意文件。苹果公司表示已经在2021年10月26日发布安全更新，通过其它限制措施缓解了该漏洞。

Bar Or 表示，“安全技术如 macOS 设备中的 SIP 是设备的内置基准防护措施和，也是针对恶意软件和其它网络安全威胁的最后一道防线。遗憾的是，恶意人员仍然能找到创新的攻陷方式。“