微软发现macOS漏洞可让恶意软件绕过安全检查
©网络研究院
苹果修复了一个漏洞,攻击者可以利用该漏洞通过能够绕过 Gatekeeper 应用程序执行限制的不受信任的应用程序;在易受攻击的 macOS 设备上部署恶意软件。
由微软首席安全研究员发现并报告的安全漏洞(称为Achilles)现在被追踪为CVE-2022-42821。
苹果在一周前的 12 月 13 日解决了macOS 13 (Ventura)、macOS 12.6.2 (Monterey) 和macOS 1.7.2 (Big Sur) 中的错误。
Gatekeeper是 macOS 的一项安全功能,它会自动检查所有从互联网下载的应用程序是否经过公证和开发人员签名(Apple 批准),要求用户在启动前确认或发出应用程序不可信任的警报。
这是通过检查名为 com.apple.quarantine 的扩展属性来实现的,该属性由 Web 浏览器分配给所有下载的文件,类似于 Windows 中的 Web 标记。
Achilles 缺陷允许特制的有效负载滥用逻辑问题来设置限制性访问控制列表 (ACL) 权限,从而阻止 Web 浏览器和 Internet 下载程序为下载的有效负载存档为 ZIP 文件设置 com.apple.quarantine 属性。
因此,包含在存档有效负载中的恶意应用程序会在目标系统上启动,而不是被 Gatekeeper 阻止,从而允许攻击者下载和部署恶意软件。
微软周一表示,“Apple 的锁定模式在 macOS Ventura 中引入,作为针对可能成为复杂网络攻击个人目标的高风险用户的可选保护功能,旨在阻止零点击远程代码执行漏洞利用,因此不会防御阿喀琉斯。”
“无论锁定模式状态如何,最终用户都应该应用修复程序,”微软安全威胁情报团队补充道。
这只是过去几年发现的多个 Gatekeeper 绕过方法之一,其中许多被攻击者在野外滥用,以在完全修补的 Mac 上绕过 macOS 安全机制,如 Gatekeeper、文件隔离和系统完整性保护 (SIP)。
例如,Bar Or 在 2021 年报告了一个名为 Shrootless 的安全漏洞,它可以让威胁行为者绕过系统完整性保护 (SIP) 在受感染的 Mac 上执行任意操作,将权限提升为 root,甚至在易受攻击的设备上安装 rootkit。
研究人员还发现了 powerdir,这是一个允许攻击者绕过透明、同意和控制 (TCC) 技术来访问用户受保护数据的漏洞。
他还发布了 macOS 漏洞 (CVE-2022-26706) 的利用代码,可以帮助攻击者绕过沙箱限制在系统上运行代码。
最后但同样重要的是,Apple 于 2021 年 4 月修复了一个零日 macOS 漏洞,该漏洞使臭名昭著的 Shlayer 恶意软件背后的威胁参与者能够绕过 Apple 的文件隔离、网守和公证安全检查,并在受感染的 Mac 上下载更多恶意软件。
Shlayer 的创建者还设法通过 Apple 的自动公证流程获得了他们的有效载荷,并使用了一种已有多年历史的技术来提升权限并禁用 macOS 的 Gatekeeper来运行未签名的有效载荷。
Gatekeeper 的致命弱点:发现 macOS 漏洞
-
微软安全威胁情报
2022 年 7 月 27 日,Microsoft 在 macOS 中发现了一个漏洞,攻击者可以利用该漏洞绕过 Apple 的 Gatekeeper 安全机制施加的应用程序执行限制,该机制旨在确保仅受信任的应用程序在 Mac 设备上运行。
我们开发了一个概念验证漏洞来演示漏洞,我们称之为“Achilles”。像这样的 Gatekeeper 绕过可以被用作恶意软件和其他威胁初始访问的载体,并且可以帮助提高恶意活动和对 macOS 的攻击的成功率。
https://mpvideo.qpic.cn/0bc3jmabaaaax4apbevbzbrvas6dcbfqaeaa.f10002.mp4?dis_k=a7ced0c38bd2b721094d7055ea72134a&dis_t=1671637837&play_scene=10400&vid=wxv_2717254637359382528&format_id=10002&support_redirect=0&mmversion=false
在仔细审查了影响后,我们于 2022 年 7 月通过Microsoft 安全漏洞研究(MSVR)的协调漏洞披露(CVD)与 Apple 分享了该漏洞。该漏洞的修复程序现已标识为CVE-2022-42821,Apple 已迅速将其发布到其所有操作系统版本中。
我们注意到苹果的锁定模式,在 macOS Ventura 中引入,作为针对可能成为复杂网络攻击个人目标的高风险用户的可选保护功能,旨在阻止零点击远程代码执行漏洞利用,因此不能防御 Achilles。无论锁定模式状态如何,最终用户都应应用此修复程序。我们感谢 Apple 合作解决此问题。
在这篇博文中,我们分享了有关Gatekeeper和能够绕过它的漏洞的信息。我们还分享了这项研究,以强调研究人员和安全社区之间合作的重要性,以改善更大生态系统的防御。
