新的“Shrootless”漏洞可能会让攻击者在macOS系统上安装Rootkit

微软周四披露了一个新漏洞的详细信息，该漏洞可让攻击者绕过macOS中的安全限制，完全控制设备，在设备上执行任意操作，而不会被传统安全解决方案标记

微软365 Defender研究团队的乔纳森·巴尔（Jonathan Bar）在一篇技术评论中说，该漏洞被追踪为CVE-2021-30892，“漏洞在于安装后脚本的苹果签名软件包的安装方式。”。“恶意参与者可能会创建一个精心编制的文件，从而劫持安装过程。”

具体来说，SIP允许修改系统的受保护部分—；例如/System、/usr、/bin、/sbin和/var—；只有由苹果签署的进程，或有特殊权限写入系统文件的进程，如苹果软件更新和苹果安装程序，同时自动授权从Mac App Store下载的应用程序

因此，当安装一个Apple签名的软件包时，它会调用system_installd守护程序，该守护程序通过调用默认shell（macOS上的Z shell（zsh））来执行软件包中包含的任何安装后脚本

成功利用CVE-2021-30892可使恶意应用程序修改文件系统的受保护部分，包括安装恶意内核驱动程序（也称为rootkit）、覆盖系统文件或安装持久的、不可检测的恶意软件。苹果公司表示，在2021年10月26日推出的安全更新的一部分中，该公司还对附加限制进行了补救。

“macOS设备中的SIP等安全技术既是设备的内置基线保护，也是抵御恶意软件和其他网络安全威胁的最后一道防线，”巴尔·奥尔说。“不幸的是，出于同样的原因，恶意行为者仍在寻找突破这些障碍的创新方法。”