macOS设备中的中危漏洞CVE-2024-44133简要分析

macOS是一套苹果开发的运行于Macintosh系列电脑的操作系统，是基于XNU混合内核的图形化操作系统，因其架构很少遭受病毒侵袭。

一、基本情况

macOS是苹果公司为mac电脑开发的专有、多任务和图形用户界面 (GUI) 操作系统，也是首个在商用领域成功的图形用户界面操作系统。

微软威胁情报团队近期发现macOS中的一个重大漏洞CVE-2024-44133，该漏洞被命名称为“HM Surf”，它揭示了TCC保护机制的脆弱性。

该漏洞能够绕过苹果透明度、同意和控制TCC技术，允许攻击者未经用户许可情况下，访问用户摄像头、麦克风、浏览历史和位置信息。

微软威胁情报团队发现漏洞后，通过 Microsoft 安全漏洞研究（MSVR）通过协调漏洞披露（CVD）与Apple分享CVE-2024-44133漏洞。 

Apple 及时发布针对此漏洞的修复程序，及时删除了易受攻击的代码，作为2024 年 9 月 16 日发布的macOS Sequoia 安全更新的一部分。

二、漏洞分析

CVE-2024-44133漏洞分析

CVE-2024-44133源于苹果为其专有应用程序（在本例中为浏览器）授予特殊权限及攻击者可以轻松访问重要应用程序配置文件而造成的。

该漏洞允许攻击者绕过MacBook 用于保护敏感数据的透明、同意和控制（TCC）安全层，该漏洞的CVSS评分危5.5，被列入中危险等级。

TCC 是一种防止应用程序在未经用户事先同意和知情的情况下访问用户个人信息的技术，包括位置服务、摄像头、麦克风、下载目录等。

从形式上来说，应用程序访问这些服务的唯一合法方式是通过用户界面批准弹出窗口，或在操作系统设置中批准每个应用程序访问权限。

因此在所有Apple设备中，TCC 都可以管理应用程序可访问敏感数据和功能，如某些应用程序想要访问相机， Mac首先会请求用户许可。

除非应用程序有特殊的“权利”，苹果的一些专有应用程序拥有权利——苹果批准的特殊权限，与其他应用程序相比，它们拥有独特的特权。

HM Surf 工作核心是Safari权利“com.apple.private.tcc.allow”，允许在应用程序级别绕过 TCC并仅在每个网站（“每个源”）的基础上应用。

因此通俗但有点拗口的解释是：Safari 可以畅通无阻的访问用户的摄像头和麦克风，但用户通过 Safari 访问的任何给定网站可能都不能。

Safari的配置（包括定义每个源TCC保护的规则）存储在主目录~/Lipary/Safari下的各种文件中，操作这些文件可以提供TCC绕过的路径。

当然主目录本身受TCC保护，不过解决这个障碍很简单，只需使用macOS中用于从命令行管理自动目录服务命令行实用程序（DSCL）。

DSCL在HM Surf中用于临时更改主目录，去除TCC保护伞屏蔽~/Lipary/Safari，攻击者可在最终恢复主目录前修改Safari每源TCC配置。

从而获得自己创建的恶意网站各种权限，后续用户访问恶意网站时该网站将完全控制屏幕截图、位置数据等，而不会触发权限弹出窗口。

简单来说，攻击者可以修改依赖于~/Lipary/Safari目录中的敏感文件的PerSitePreferences.db等关键文件，绕过安全控制获取敏感数据。

美国一家网络安全公司Menlo Security 的网络安全专家 Xen Madden 对此评价道：这是一个严重的问题，因为它会提供未经授权的访问。

CVE-2024-44133是否已被利用

Microsoft Defender for Endpoint 中的行为监控保护已经检测到与 Adload（一种流行的 macOS 威胁系列）相关活动，可能会利用此漏洞。

在监测到漏洞后，微软开始扫描客户环境寻找与他们发现的内容相符的活动，并在一台设备上找到与类似漏洞利用行为非常相关的活动。

一个受害者Chrome配置程序中添加了对麦克风和摄像头访问特定URL的批准，从而收集用户和设备信息，为第二阶段有效载荷奠定基础。

这是一个著名的macOS广告软件程序，名为“ AdLoad ”，AdLoad 能够劫持并重定向浏览器流量，用不需要的广告对用户造成干扰等行为。

此外，AdLoad 这个流氓广告软件还可以进一步收集用户数据，将受感染设备转变为僵尸网络中的节点，并充当进一步恶意负载的集结地。

微软称尽管AdLoad活动与HM Surf技术非常相似，由于无法观察导致该活动所采取步骤，因此无法完全确定其是否利用HM surf漏洞本身。

苹果公司于2024年9月16日发布针对CVE-2024-44133漏洞补丁，漏洞已在 macOS Sequoia 15修复，通过移除易受攻击代码解决该漏洞。

三、漏洞影响

Mac Studio（2022 年及更新机型）、iMac（2019 年及更新机型）、Mac Pro（2019 年及更新机型）；

Mac mini（2018 年及更新机型）、MacBook Air（2020 年及更新机型）、MacBook Pro（2018 年及更新机型）；

iMac Pro（2017 年及更新机型）

四、修复建议

苹果鼓励 macOS 用户尽快应用这些安全更新，从而避免用户遭受间谍活动、数据盗窃和其他形式的恶意软件的攻击。

五、参考链接

https://support.apple.com/zh-cn/121238