聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
微软的首席安全研究员 Jonathan Bar Or 发现,通过能够绕过Gatekeeper 应用执行限制的不可信应用程序,攻击者利用CVE-2022-42821就能在易受攻击的macOS设备上部署恶意软件。
一周前,苹果已在macOS 13 (Ventura)、macOS 12.6.2 (Monterey) 和macOS 1.7.2(Big Sur) 中修复了该漏洞。
通过限制性ACLs绕过 Gatekeeper
Gatekeeper 是一个macOS 安全特性,可自动检查从互联网上下载的所有应用(前提是获得公正和开发人员签名),在发出应用不可信的警报之前请求用户进行确认。而这是通过检查一个扩展属性com.apple.quarantine 实现的,该属性由web浏览器分配给所有已下载文件,这一机制类似于Windows 中的Mark of the Web机制。
该漏洞可导致特殊构造的payload滥用一个逻辑问题设立限制性访问控制清单 (ACL) 权限,阻止web浏览器和Internet 下载工具为payload归档为ZIP文件的下载内容设立com.apple.qurantine 属性。结果,所归档的恶意payload 中所包含的恶意app在目标系统上启动,而非被Gatekeeper 拦截,从而导致攻击者下载并部署恶意软件。
本周一,微软指出,“苹果在macOS Ventura 中引入的Lockdown 模式是一种为高风险用户设置的可选防御特性,它旨在阻止零点击远程代码执行exploit,因此无法抵御CVE-2022-42821。终端用户应在不考虑Lockdown Mode状态的情况下应用补丁。”
更多的macOS 安全绕过和恶意软件
这是近年来发现的其中一个Gatekeeper 绕过,其中很多被用于绕过类似于的macOS 安全机制,如Gatekeeper、File Quarantine和SIP等。
例如,Bar Or在2021年发现的Shrootless 漏洞可导致攻击者绕过SIP,在受陷Mac 上执行任意操作、将权限提升至root,甚至在易受攻击的设备上安装rootkit。他还发现了漏洞Powerdir可导致攻击者绕过TCC技术,访问用户的受保护数据。另外,还发布了CVE-2022-26706的 exploit 代码,该漏洞可导致攻击者绕过沙箱限制条件,在系统上运行代码。
2021年4月,苹果修复了一个macOS 0day,可导致Shlayer 恶意软件幕后的攻击者绕过苹果的File Quarantine、Gatekeeper和Notarization 安全检查并在受感染Mac设备上下载更多的恶意软件。
Shlayer 的创建人员还设法通过苹果的自动公正流程获得payload,并通过古老技术提升权限且禁用macOS 的Gatekeeper机制,运行未签名的payload。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
微软详述影响苹果 iOS、iPadOS、macOS 设备的沙箱逃逸漏洞
苹果发布 iOS 和 macOS 更新,修复已遭利用0day
研究员发现macOS 版本Safari 浏览器中的严重漏洞,获奖10.5万美元
原文链接
https://www.bleepingcomputer.com/news/security/microsoft-finds-macos-bug-that-lets-malware-bypass-security-checks/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
881
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
