微软安全威胁情报小组(Microsoft Security Threat Intelligence)发现macOS有项漏洞,能让攻击者绕过Gatekeeper安全机制,而在Mac计算机上执行恶意应用程序。苹果已经发布新版macOS操作系统进行修补。
微软是在7月发现编号CVE-2022-42821的漏洞,它可使用应用程序绕过macOS Gatekeeper提供的应用执行限制。Gatekeeper功能是确保只有受信赖的应用程序可以在Mac设备上执行。本漏洞可为恶意程序打开Mac计算机大门,再协助提升攻击活动成功率。微软也将此漏洞为“阿奇里斯”(Achilles)。
微软解释,Gatekeeper会检查所有从网络下载的应用程序,确认应用程序是否具备(苹果核准的)开发人员签章以及经过苹果公证,应用程序必须通过检查才能打开,否则Gatekeeper就会封锁应用程序执行并通知用户(如下图所示)。
图片来源/微软
Gatekeeper的作业原理是检查苹果浏览器Safari在应用程序下载时赋给的扩展属性,其中com.apple.quarantine存储下载文件来源资讯,以及提供Gatekeeper处理文件的指示。
研究人员发现,通过设置非常严格的访问控制清单(Access Control List,ACL),可使Safari(或其他应用程序)无法设置扩展属性,包括Gatekeeper相关的com.apple.quarantine。结果就能使Gatekeeper无法在用户从网络下载执行恶意程序时发挥把关的作用。
研究人员并在概念验证中设计了滥用这项漏洞的方法,创建假路径及存储经改造的ACL的假AppleDouble文件,成功使Gatekeeper使用了这个文件,因而造成了Gatekeeper绕过的结果。
这项漏洞影响macOS 12 Monterey、macOS 11 Big Sur等版本。经过微软通报,苹果已经发布macOS Monterey 12.6.2、macOS Big Sur 11.7.2及macOS Ventura 13解决漏洞。
微软并提醒,macOS的安全功能封闭模式(Lockdown Mode)无法防范阿奇里斯漏洞攻击。这功能是Ventura以后加入,用于保护特定高风险人士可能遭国家或高端黑客执行零点击远程程序代码攻击。微软呼吁Mac计算机用户,不论是否打开封闭模式都必须安装更新。