聚焦源代碼安全,網羅國内外最新資訊!
編譯:奇安信代碼衛士
安全取決于最薄弱的環節。蘋果最新釋出的安全更新就佐證了這一點。蘋果釋出 macOS 作業系統更新,修複了可規避所有安全防禦措施進而使未獲準許軟體在 Mac 上運作的已遭利用 0day 漏洞。
該漏洞的編号為 CVE-2021-30657,由安全工程師 Cedric Owens 發現并在2021年3月25日向蘋果報告。
安全研究意義 Patrick Wardle 在 write-up 中指出,“未簽名、未公證和基于腳本的 PoC 應用程式可輕松并可靠地繞過 macOS 的所有相關安全機制(檔案隔離、Gatekeeper和公證要求),即使在完全修複的 M1 macOS 系統上也不例外。macOS 惡意軟體作者的這種能力能夠(而且正在)轉向已經證明的攻擊并感染 macOS 使用者的方法。”
蘋果的 macOS 系統具有的 Gatekeeper 功能僅允許可信任 app 運作,以確定該 app 已由 App Store 或已注冊開發人員簽名,并且清除了名為 “app 公證“的自動化程序,而該程序用于掃描軟體中的惡意内容。
但 Owens 發現的這個新缺陷可使對手構造惡意應用程式,欺騙 Gatekeeper 服務并在無需觸發任何安全警告的情況下執行。這種技巧涉及将惡意 shell 腳本打包為“可輕按兩下 app”,以便惡意軟體可被輕按兩下并像 app 一樣運作。
Owens 表示,“可以把它看作一款app,你可以輕按兩下,而當你右擊 payload 上的 >Get Info 時,macOS 将其視作一款 app。然而,它也是一個 shell 腳本,即使存在隔離屬性,Gatekeeper 也不會進行檢查。”
macOS 安全公司 Jamf 表示,Shlayer 惡意軟體幕後威脅行動者早在2021年1月9日就濫用 Gatekeeper 繞過漏洞。卡巴斯基釋出的2019年資料表示,Shlayer 通過搜素引擎投毒或垃圾索引技術進行傳播,在 macOS 平台上的檢測占比近30%,十個系統中就有一個會至少遇到一次廣告軟體。攻擊者通過操縱搜素引擎結果引出惡意連結,如使用者點選,則會被重定向至網頁并收到下載下傳看似無害的app更新的提示資訊,而在本案例中是旨在檢索下一階段 payload 的批量腳本,如 Bundlore 廣告軟體。更糟糕的是,這種感染可被用于傳播更多的進階威脅如監控軟體和勒索軟體。
除了該漏洞外,蘋果還在本周一更新解決了位于 WebKit Storage 中的一個嚴重缺陷 (CVE-2021-30661),和 iOS、macOS、tvOS和watchOS 處理惡意構造的網頁内容時的任意代碼執行缺陷有關。
蘋果公司表示,“蘋果公司注意到改問題已被活躍利用的報告”,并指出以改進記憶體管理措施解決了該釋放後使用弱點。
除了這些更新外,蘋果公司還釋出了 Windows 12.3 版本的 iCloud,修複了位于 WebKit 和 WebRTC 等中的四個漏洞,本可導緻攻擊者實施 XSS 攻擊 (CVE-2021-1825) 和損壞核心記憶體(CVE-2020-7463)。
建議蘋果使用者盡快更新至最新版本。
推薦閱讀
開源包管理器Homebrew被曝 RCE,影響 macOS 和 Linux 系統
詳解蘋果 macOS Mail 中的零點選漏洞
隐藏十年的 Sudo 漏洞 (CVE-2021-3156) 還影響 macOS 和 IBM IAX
原文連結
https://thehackernews.com/2021/04/hackers-exploit-0-day-gatekeeper-flaw.html
題圖:Pixabay License
本文由奇安信編譯,不代表奇安信觀點。轉載請注明“轉自奇安信代碼衛士 https://codesafe.qianxin.com”。
奇安信代碼衛士 (codesafe)
國内首個專注于軟體開發安全的
産品線。
覺得不錯,就點個 “在看” 或 "贊” 吧~