查看原文
其他

黑客利用 Gatekeeper 0day 攻击 MacOS 计算机

Ravie Lakshmanan 代码卫士 2022-12-22

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士



安全取决于最薄弱的环节。苹果最新发布的安全更新就佐证了这一点。苹果发布 macOS 操作系统更新,修复了可规避所有安全防御措施从而使未获批准软件在 Mac 上运行的已遭利用 0day 漏洞。


该漏洞的编号为 CVE-2021-30657,由安全工程师 Cedric Owens 发现并在2021年3月25日向苹果报告。

安全研究意义 Patrick Wardle 在 write-up 中指出,“未签名、未公证和基于脚本的 PoC 应用程序可轻松并可靠地绕过 macOS 的所有相关安全机制(文件隔离、Gatekeeper和公证要求),即使在完全修复的 M1 macOS 系统上也不例外。macOS 恶意软件作者的这种能力能够(而且正在)转向已经证实的攻击并感染 macOS 用户的方法。”

苹果的 macOS 系统具有的 Gatekeeper 功能仅允许可信任 app 运行,以确保该 app 已由 App Store 或已注册开发人员签名,并且清除了名为 “app 公证“的自动化进程,而该进程用于扫描软件中的恶意内容。

但 Owens 发现的这个新缺陷可使对手构造恶意应用程序,欺骗 Gatekeeper 服务并在无需触发任何安全警告的情况下执行。这种技巧涉及将恶意 shell 脚本打包为“可双击 app”,以便恶意软件可被双击并像 app 一样运行。

Owens 表示,“可以把它看作一款app,你可以双击,而当你右击 payload 上的 >Get Info 时,macOS 将其视作一款 app。然而,它也是一个 shell 脚本,即使存在隔离属性,Gatekeeper 也不会进行检查。”

macOS 安全公司 Jamf 表示,Shlayer 恶意软件幕后威胁行动者早在2021年1月9日就滥用 Gatekeeper 绕过漏洞。卡巴斯基发布的2019年数据表示,Shlayer 通过搜素引擎投毒或垃圾索引技术进行传播,在 macOS 平台上的检测占比近30%,十个系统中就有一个会至少遇到一次广告软件。攻击者通过操纵搜素引擎结果引出恶意链接,如用户点击,则会被重定向至网页并收到下载看似无害的app更新的提示信息,而在本案例中是旨在检索下一阶段 payload 的批量脚本,如 Bundlore 广告软件。更糟糕的是,这种感染可被用于传播更多的高级威胁如监控软件和勒索软件。

除了该漏洞外,苹果还在本周一更新解决了位于 WebKit Storage 中的一个严重缺陷 (CVE-2021-30661),和 iOS、macOS、tvOS和watchOS 处理恶意构造的网页内容时的任意代码执行缺陷有关。

苹果公司表示,“苹果公司注意到改问题已被活跃利用的报告”,并指出以改进内存管理措施解决了该释放后使用弱点。

除了这些更新外,苹果公司还发布了 Windows 12.3 版本的 iCloud,修复了位于 WebKit 和 WebRTC 等中的四个漏洞,本可导致攻击者实施 XSS 攻击 (CVE-2021-1825) 和损坏内核内存(CVE-2020-7463)。

建议苹果用户尽快更新至最新版本。





推荐阅读
开源包管理器Homebrew被曝 RCE,影响 macOS 和 Linux 系统
详解苹果 macOS Mail 中的零点击漏洞
隐藏十年的 Sudo 漏洞 (CVE-2021-3156) 还影响 macOS 和 IBM IAX




原文链接


https://thehackernews.com/2021/04/hackers-exploit-0-day-gatekeeper-flaw.html


题图:Pixabay License


本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。



奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 或 "” 吧~



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存