ClearanceKit opfilter 扩展可被信号中断导致策略绕过 (CVE-2024-40604)

opfilter 系统扩展可被挂起或信号中断，导致文件访问策略执行被禁用 漏洞概述 ClearanceKit 的 系统扩展（bundle ID: ）可以被任何具有 root 权限的进程通过 、 或 / 挂起或终止。在扩展被挂起期间，所有 Endpoint Security 事件将超时并默认允许，从而暂时禁用 ClearanceKit 的文件访问策略执行。 影响范围 受影响版本: 已修复版本: 软件: ClearanceKit 严重性: High (CVSS v3.1: 8.2 / 10) 攻击向量: Local 攻击复杂度: Low 攻击要求: None 特权要求: High 用户交互: None 机密性影响: None 完整性影响: None 可用性影响: High 影响 攻击者若已获取 macOS 主机上的 root 权限，可利用此漏洞打开一个窗口，在其中任意文件访问操作无需授权检查即可进行。可用于： 清除 ClearanceKit 原本会拒绝访问的文件。 安装或执行原本会被活动策略阻止的二进制文件。 结合其他本地特权提升技术，实现短暂的政策绕过窗口。 该攻击需要现有的 root 级立足点；它不绕过 SIP 或系统扩展批准要求。 修复方案 在即将发布的版本中，通过引入 （一个专用的 Endpoint Security 客户端）来修复。该客户端订阅 和 事件。当这些事件中的任何一个发生时， 自身（通过 识别，安全对抗 PID 重用）将被拒绝事件。其他所有事件均允许通过 以避免重复的内核-用户空间交叉（针对非攻击情况）。 拦截内核交付前的信号，因此适配器可以拒绝包括 在内的所有信号（进程级“SIGKILL 无法被捕获”规则不适用于内核 AUTH 事件处理程序）。唯一未受影响的路径是内核级拆除（例如 jetstream 或系统扩展框架在卸载期间），该路径不通过 路由。 挂起和恢复事件在针对 时均被阻止。当进程从未被挂起时阻止恢复是一个无操作；无条件阻止是保守选择。 变通方法 无。挂起窗口无法在不进行内核级事件拦截的情况下关闭。 参考 Apple Endpoint Security 框架 — 、 — 密码学绑定的进程身份，安全对抗 PID 重用 信用 内部报告。 CVE ID CVE-2024-40604 弱点 CWE-693

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

ClearanceKit opfilter 扩展可被信号中断导致策略绕过 (CVE-2024-40604)

同源更多文章

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

ClearanceKit opfilter 扩展可被信号中断导致策略绕过 (CVE-2024-40604)

同源更多文章

目标达成感谢每一位支持者 — 我们达成了 100% 目标！