据 TheHackerNews 12 月 24 日报道,苹果最近修补了 macOS 操作系统中的一个安全漏洞,攻击者可以利用该漏洞“轻松”绕过“macOS 无数的基本安全机制”并运行任意代码。
安全研究员帕特里克·沃德尔上周在一系列推文中详细介绍了这一发现。 该漏洞编号为 CVE-2021-30853(CVSS 评分:5.5),据称与恶意 macOS 应用程序可能绕过 Gatekeeper 检测的场景有关。 最初,此检查是为了确保只有受信任的应用程序才能运行,并且要“受信任”,应用程序必须经过称为“应用程序公证”的手动过程。
Apple 表示,Box 的 Gordon Long 报告了该漏洞,并表示该公司在即将于 2021 年 9 月 20 日发布的 macOS 11.6 更新中通过改进检测来解决该漏洞。
Wardle 在一份有关该漏洞的技术报告中表示:“此类漏洞通常会对 macOS 用户产生很大影响,因为它们为广告软件和恶意软件攻击者提供了绕过 macOS 安全机制的方法……这将阻止该恶意软件的进一步传播。”
具体来说,除了绕过“门卫”之外,该漏洞还绕过了文件隔离和 macOS 的公证要求,有效地允许看似无害的 PDF 文件只需打开它即可危及整个系统。 Wardle 表示,问题的症结在于,未签名、未公证的基于脚本的应用程序很难显式指定类库,从而导致其完美绕过。
值得注意的是,#!/bin/sh 或 #!/bin/bash 等 shebang 类库指令一般用于解析和解释 shell 程序。 但在这些边缘漏洞中,攻击者可以制作一个包含 shebang 行的应用程序,而无需提供类库(即#!)检测网站漏洞软件,但仍然让底层操作系统在没有任何警报的情况下启动脚本。
Wardle 解释说,这是由于“macOS 将(重新)尝试通过 shell ('/bin/sh') 执行失败的 [‘无解释器’基于脚本的应用程序]”。
换句话说,攻击者可以通过欺骗目标打开恶意应用程序来利用此漏洞,该应用程序可以伪装成合法应用程序(例如 Adobe Flash Player 更新或 Microsoft Office)的特洛伊木马版本。
这并不是 Gatekeeper 程序中发现的第一个漏洞。 明年 4 月初,苹果迅速修复了当时被积极利用的零日漏洞(CVE-2021-30657),该漏洞可以绕过所有安全保护,从而允许未经批准的软件在 Mac 上运行。
随后在 10 月份,谷歌披露了一个名为“Shrootless”(CVE-2021-30892)的漏洞,该漏洞可用于执行任意操作、提升 root 权限以及在受感染的设备上安装 rootkit。 苹果表示,已对该漏洞采取了额外限制检测网站漏洞软件,并在 2021 年 10 月 26 日推送的安全更新中解决了该问题。
参考来源
