Apple 修复了一个漏洞,攻击者可以利用该漏洞通过能够绕过 Gatekeeper 应用程序执行限制的不受信任的应用程序在易受攻击的 macOS 设备上部署恶意软件。
由 Microsoft 首席安全研究员 Jonathan Bar Or 发现并报告的安全漏洞(称为Achilles)现在被追踪为CVE-2022-42821。
Apple 在一周前的 12 月 13 日解决了macOS 13 (Ventura)、macOS 12.6.2 (Monterey) 和macOS 1.7.2 (Big Sur) 中的错误。
通过限制性 ACL 绕过网守
Gatekeeper是 macOS 的一项安全功能,它会自动检查所有从互联网下载的应用程序是否经过公证和开发人员签名(Apple 批准),要求用户在启动前确认或发出应用程序不可信任的警报。
这是通过检查名为 com.apple.quarantine 的扩展属性来实现的,该属性由 Web 浏览器分配给所有下载的文件,类似于 Windows 中的 Web 标记。
Achilles 缺陷允许特制的有效负载滥用逻辑问题来设置限制性访问控制列表 (ACL) 权限,从而阻止 Web 浏览器和 Internet 下载程序为下载的有效负载存档为 ZIP 文件设置 com.apple.quarantine 属性。
因此,存档的恶意负载中包含的恶意应用程序会在目标系统上启动,而不是被 Gatekeeper 阻止,从而允许攻击者下载和部署恶意软件。
微软周一表示,“Apple 的锁定模式在 macOS Ventura 中引入,作为针对可能成为复杂网络攻击个人目标的高风险用户的可选保护功能,旨在阻止零点击远程代码执行漏洞利用,因此不会防御阿喀琉斯。”
“无论锁定模式状态如何,最终用户都应该应用修复程序,”微软安全威胁情报团队补充道。
更多 macOS 安全绕过和恶意软件
这只是过去几年发现的多个 Gatekeeper 绕过方法之一,其中许多被攻击者在野外滥用,以在完全修补的 Mac 上绕过 macOS 安全机制,如 Gatekeeper、文件隔离和系统完整性保护 (SIP)。
例如,Bar Or 在 2021 年报告了一个名为 Shrootless 的安全漏洞,它可以让威胁行为者绕过系统完整性保护 (SIP) 在受感染的 Mac 上执行任意操作,将权限提升为 root,甚至在易受攻击的设备上安装 rootkit。
研究人员还发现了 powerdir,这是一个允许攻击者绕过透明、同意和控制 (TCC) 技术来访问用户受保护数据的漏洞。
他还发布了 macOS 漏洞 (CVE-2022-26706) 的利用代码,可以帮助攻击者绕过沙箱限制在系统上运行代码。
最后但同样重要的是,Apple 于 2021 年 4 月修复了一个零日 macOS 漏洞,该漏洞使臭名昭著的 Shlayer 恶意软件背后的威胁参与者能够绕过 Apple 的文件隔离、网守和公证安全检查,并在受感染的 Mac 上下载更多恶意软件。
Shlayer 的创建者还设法通过 Apple 的自动公证流程获得了他们的有效载荷,并使用了一种已有多年历史的技术来提升权限并禁用 macOS 的 Gatekeeper来运行未签名的有效载荷。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 微软发现macOS漏洞可让恶意软件绕过安全检查
