特权提升攻防揭秘：macOS恶意软件如今还需要root提权吗？

一、前言

在本篇文章中，我们详细描述关于macOS上的特权提升。首先，我们将介绍安全研究人员在Apple桌面操作系统的最新版本中发现的一些漏洞，其中重点说明已经转化为可靠漏洞利用的一些漏洞。针对这些漏洞，提出面向企业和终端用户的安全建议。随后，我们将视角从研究人员转向攻击者，奇热探讨macOS威胁参与者所使用的的攻击方法，并说明为什么他们采用了与安全研究人员截然不同的方法。

二、什么是特权提升？

首先，我们先对这个专业名词进行解释。每当要执行一段代码时，操作系统都会在调用代码的用户上下文中执行。从技术上说，这个用户不一定是真实的用户，但为了方便理解，我们在这里仅指用户启动某些应用程序或脚本的场景。在这时，代码可以访问用户拥有的资源。同时也就意味着，代码通常无法访问系统文件、其他用户的文件和任何其他受保护的资源。

当然，除非该用户是root用户，或者已经请求以root用户身份运行。熟悉命令行的读者可能非常熟悉sudo开头的命令，而这就是在以root用户身份运行。在桌面用户界面中，当安装程序或其他工具要求获取权限，以进行一些当前用户无权进行（或在没有身份验证的情况下无法进行）的更改时，也会发生同样的情况。这样的例子有很多，比如安装新的辅助工具、移动或删除用户主文件夹以外的文件夹，或执行需要特权提升的脚本。

这样的特权提升非常方便，但是当用户或进程原本不应该获得这些提升后的特权时，问题就会出现。特权提升可以借助软件或操作系统的漏洞来实现，也可以通过社会工程学的方式来导致，我们将在后文中详细介绍。

三、特权提升在macOS上有多常见？

如果我们关注Apple的产品安全公告，我们可能会惊讶地发现，每次更新中都修复了为数不少的代码执行漏洞。实际上，这也是安全性在不断提升的证明，Apple和世界各地的安全研究人员正在不断发现并修复严重的安全漏洞。

实际上，并非Apple修复的所有漏洞都属于特权提升漏洞。许多漏洞都具有一个单独的分类，统称为“任意代码执行”，这意味着该漏洞可能允许攻击者在特定情况下执行攻击者自定义的任何代码。但是，任意代码执行可以作为特权提升的前奏。漏洞利用链通常都会从任意代码执行开始，但是攻击者是否可以利用该代码执行漏洞来运行实现特权提升的代码，这又是需要额外研究的一个问题。

即便存在某个漏洞允许实现特权提升，但并非所有此类漏洞都能够转化为可利用的漏洞。实际上，可以通过某些不常见的情况来缓解这些漏洞，最终可能会导致这些漏洞仅仅具有技术层面的意义，没有实用价值。以macOS 18.7.0内核的本地特权提升漏洞为例，漏洞发现者将其描述为“几乎无法被野外利用”，但安全研究人员仍然对此很感兴趣：

上述所说的情况，只是其中的一部分，macOS中仍然存在着许多严重的特权提升漏洞，并且其中有一部分是可以利用的。接下来，就让我们深入分析其中的一些漏洞。

四、macOS El Capitan 10.11和macOS Sierra 10.12上的特权提升漏洞

为了让这篇文章能具有实用价值，我们从至少能影响El Capitan的漏洞开始分析，而El Capitan是Apple首次引入系统完整性保护的版本，并且可以说，这是Apple真正开始重视安全性的问题。截至2019年10月，El Capitan预计将占据macOS市场约7%的比例，而Sierra则占据8.99%的比例。

当然，Physmem是一个可以在老版本操作系统上利用的漏洞。我已经在OSX 10.9 Mavericks之前的系统上成功进行了测试，该漏洞利用程序的作者认为代码也许可以追溯到OSX 10.5 Leopard。所有版本的OSX 10.10 Yosemite、macOS El Capitan 10.11.5前版本、macOS Sierra 10.12.0/10.12.1都受到该漏洞的影响。Physmem根据目标系统的不同，分别利用CVE-2016-1825和CVE-2016-7617漏洞。

Physmem的源代码是公开可以访问的，因此攻击者也同样可以轻松获得。作为本地权限提升漏洞，它首先要求用户下载并运行某些第三方软件，这是一种相当常见的攻击方式，因为受害者往往不知道其中包含着恶意代码。一个看似合法的软件（例如：假冒的Adobe Flash安装程序、媒体下载工具ÿ