窃取KeyChain的MacOS漏洞EXP公开后，再爆可绕过Mac安全警告漏洞

在今年年初，曾曝过一个

点击下图同样可以跳转文章

而当初因为其不满苹果漏洞赏金制度，因此拒绝将细节提供给苹果，但在最后，小伙还是将漏洞细节免费提交给了苹果

而就在近日其将当初的发现的漏洞利用工具全部上传至github。

github链接如下。我没时间研究，懂的人看吧

https://github.com/LinusHenze/Keysteal

KeySteal攻击的工作原理是利用一个不在Apple的钥匙串本身的缺陷，而是在一个安全服务中，它促进了钥匙串和其他macOS应用程序之间的连接。Henze说他在查看限制Safari中运行的Web应用程序的“沙箱”的安全性时发现了这个漏洞。沙箱是一种带围墙的花园，使程序无法访问系统的其他部分。这样，如果程序存在漏洞，攻击者利用它仍然无法超越其沙箱进行更大的破坏。

Henze注意到，在Safari中，程序可以与安全服务进行通信，该服务还管理密钥链以检查密码和Web加密证书等内容。他下载了这项服务的框架，以便他可以更仔细地研究它，并注意到当他通过Safari发起会话与安全服务交谈时，他可以操纵会话的各种属性。

同时，Henze还意识到Apple提供了一个小程序，允许访问钥匙串而不提示用户输入密码。该工具作为一套程序的一部分存在，旨在供在大量Mac上运行企业安全的IT管理员使用。使用这些工具，管理员可以创建或删除钥匙串，迁移它们，或者立即将登录凭证添加到许多钥匙串，而无需用户参与。但是这些工具存在于所有Mac中，而不仅仅是那些在Apple企业系统中注册的工具。

Henze发现，有可能操纵Safari和安全服务之间的会话，使会话似乎是由不需要用户身份验证的特殊，可信赖的钥匙串管理程序启动的。通过这种方式，Henze可以欺骗安全服务将密钥链的解密内容传送到他控制的应用程序中。

Apple的补丁通过阻止安全服务信任被操纵的会话来修复该漏洞并阻止攻击。Apple没有回复WIRED的多项请求，要求对KeySteal或Henze的披露机制发表评论。

Mac研究人员强调，钥匙串攻击相当普遍，因此是苹果继续改进的关键领域。安全公司Malwarebytes的Mac研究专家托马斯·里德说：“我讨厌这么说，但我对KeySteal并不感到特别惊讶。” “我看到很多针对钥匙串的攻击，所以虽然这是一种隐形的新技术，但获取密码链中的密码远非闻所未闻。”

参考链接：

https://www.wired.com/story/keysteal-apple-keychain-attack-shenanigans/

而近日苹果还爆了个漏洞。和此前的合成点击攻击相关。

在去年六月，Apple在MacOS中引入了一项核心安全功能，强制所有应用程序在访问系统上的敏感数据或组件（包括设备摄像头或麦克风，位置）之前必须获得用户的许可（“允许”或“拒绝”）数据，消息和浏览历史记录。

而安全研究人员再次找到了一种绕过安全警告的新方法，即代表用户执行“合成点击”而无需他们的互动。

“合成点击”是由软件程序而不是人类生成的程序化和不可见的鼠标进行点击。MacOS本身具有合成点击的内置功能，但作为一种辅助功能，残障人士可以以非传统方式与系统界面进行交互。

因此，该功能仅适用于Apple批准的应用，可防止恶意应用滥用这些程序化点击。

然而，安全研究员帕特里克·沃德尔当时发现了macOS的一个严重缺陷，它可能允许安装在目标系统上的恶意应用程序虚拟地“点击”安全提示按钮，而无需任何用户交互或实际同意。

尽管苹果公司在公开披露几周后修补了这个问题，但Wardle再一次公开展示了一种新方法，可以让应用程序在没有明确许可的情况下执行“ 合成点击 ”来访问用户的私人数据。

Wardle告诉The Hacker News，在Mojave上，macOS检查白名单应用程序的完整性的方式存在验证缺陷。操作系统检查应用程序的数字证书是否存在，但无法验证应用程序是否已被篡改。

“系统尝试验证/验证这些允许列入白名单的应用程序尚未被破坏 - 但是他们的检查存在缺陷，这意味着攻击者可以破坏其中任何一个，并添加/注入代码以执行任意合成点击 - 例如与之交互Mojave中的安全/隐私警报可访问用户的位置，麦克风，网络摄像头，照片，短信/通话记录，“Wardle告诉The Hacker News。

此外，“那些[白名单]应用程序不必存在于系统中。攻击者可以将其中一个列入白名单的应用程序（可能是预先破坏的）并在后台运行，以产生点击。”

在蒙特卡洛的Objective By the Sea会议上展示了零日漏洞，Wardle滥用了苹果批准的应用程序之一VLC播放器，将他的恶意软件包含在一个未签名的插件中，并以编程方式在同意提示下执行合成点击而不实际需要任何用户的互动。Wardle将新的合成点击漏洞称为“第二阶段攻击”，意味着攻击者需要远程访问受害者的macOS计算机或已安装恶意应用程序。

沃德尔上周向苹果公司报告了他的调查结果，该公司确认收到他的报告，但没有明确何时计划修补这个问题。

参考链接:

https://thehackernews.com/2019/06/macOS-synthetic-click.html

纯机翻，建议看原文。

可以看出，今天没啥思路，泛泛而谈一些内容吧

最后，再来一发，metasploit模块已经完成了，恐怕。。。

<上期看点>

有人可能会说，上面这个Absolute的链接怎么到现在还不去掉。

我来告诉你为啥。

这就是谣言的力量。

黑鸟威胁情报中心，只做最正确的情报，不传谣不信谣，欢迎扫码持续关注。

点击菜单栏，扫码加入每日更新的知识星球（原价299，现价269）