专家详述可能让恶意软件绕过网关安全的 macOS 漏洞

Apple最近修复了macOS操作系统中的一个安全漏洞，该漏洞可能被威胁参与者利用，以"微不足道且可靠地"绕过"无数基础macOS安全机制"并运行任意代码。

安全研究员帕特里克·沃德尔（Patrick Wardle）周四在一系列推文中详细介绍了这一发现。跟踪为CVE-2021-30853（CVSS分数：5.5），该问题与恶意macOS应用程序可能规避Gatekeeper检查的情况有关，这可确保只能运行受信任的应用程序，并且它们已通过称为"应用程序公证"的自动过程。

这家iPhone制造商将该漏洞归功于Box的Gordon Long，并表示作为2021年9月20日正式发布的macOS 11.6更新的一部分，它通过改进检查解决了这一弱点。

"这些错误通常对日常macOS用户特别有影响，因为它们为广告软件和恶意软件作者提供了一种避开macOS安全机制的方法，......否则会阻止感染尝试的机制，"Wardle在对该缺陷的技术文章中说。

具体来说，该错误不仅可以绕过Gatekeeper，还可以绕过文件隔离和macOS的公证要求，有效地允许看似无害的PDF文件只需打开它即可破坏整个系统。根据Wardle的说法，问题的根源在于一个未签名的，未经公证的基于脚本的应用程序无法显式指定解释器，从而导致完全绕过。


值得注意的是，shebang解释器指令（例如 #！/bin/sh 或 #！/bin/bash）通常用于解析和解释 shell 程序。但是在这种边缘情况攻击中，攻击者可以制作一个应用程序，以便在不提供解释器（即#！）的情况下合并shebang行，并且仍然可以让底层操作系统启动脚本而不会引发任何警报。

之所以如此，是因为"macOS将（重新）尝试通过shell（'/bin/sh'）执行失败的['解释器-less'基于脚本的应用程序]"，在最初缺乏成功之后，Wardle解释说。

换句话说，威胁行为者可以通过诱骗其目标打开一个流氓应用程序来利用此漏洞，该应用程序可以伪装成Adobe Flash Player更新或Microsoft Office等合法应用程序的特洛伊木马化版本，而这些应用程序又可以通过一种称为搜索中毒的方法提供，攻击者可以人为地增加托管其恶意软件的网站的搜索引擎排名，以吸引潜在的受害者。

这不是第一次在 Gatekeeper 过程中发现缺陷。今年4月初，苹果开始迅速修补一个当时被积极利用的零日漏洞（CVE-2021-30657），该漏洞可能规避所有安全保护，从而允许在Mac上运行未经批准的软件。

然后在10月份，微软披露了一个名为"Shrootless"（CVE-2021-30892）的漏洞，该漏洞可用于执行任意操作，将权限提升为root，并在受感染的设备上安装rootkit。苹果公司表示，作为2021年10月26日推出的安全更新的一部分，它通过额外的限制来修复这个问题。