1月14日、Appleが2024年12月11日にリリースされるmacOS Sequoia 15.2セキュリティアップデートで、システム整合性保護（SIP）機能の脆弱性を修正したと報じられた。Microsoftは1か月後にこの脆弱性の詳細を明らかにした。

CVE-2024-44243 として追跡されているこの脆弱性により、Apple の macOS SIP セキュリティ保護を回避し、サードパーティのカーネル拡張機能をロードすることで悪意のあるカーネル ドライバーがインストールされる可能性があります。

注: SIP（​​別名「ルートレス」）は、macOSのセキュリティ機能で、保護された領域におけるルートユーザーアカウントの権限を制限することで、マルウェアによる特定のフォルダやファイルの変更を防止します。SIPでは、Appleが署名したプロセス、または特別な承認を受けたプロセス（Appleソフトウェアアップデートなど）のみが、macOSで保護されたコンポーネントを変更できます。

この脆弱性は、ディスク状態の永続化を処理するStorage Kitデーモンに存在します。攻撃者がこの脆弱性を悪用するには、ローカルアクセスとルート権限が必要です。攻撃の複雑さは低く、ユーザーの操作が必要です。

攻撃者はこの脆弱性を悪用し、SIPのルート制限を回避し、物理的なアクセスなしにルートキット（カーネルドライバー）をインストールし、永続的で削除不可能なマルウェアを作成し、透明性、同意、制御（TCC）セキュリティチェックを回避して被害者のデータにアクセスしました。（Gu Yuan）