蘋果修補核心零時差漏洞 能繞過 macOS 安全防護安裝惡意程式

蘋果周一發佈macOS 11.3 Big Sur,除了加入新功能外,更重要的是修補了一個已經駭客開採來安裝惡意程式,卻不會觸發Mac電腦安全防護的零時差漏洞。

蘋果周一發佈 macOS 11.3 Big Sur,除了加入新功能外,更重要的是修補了一個已經駭客開採來安裝惡意程式,卻不會觸發 Mac 電腦安全防護的零時差漏洞。

Mac 電腦提供完整的防護機制,防範用戶不小心安裝惡意軟體。雖然點擊和零點擊攻擊程式很常上頭條,但更常見的手法是把木馬程式偽裝成遊戲、更新程式或用戶想要的軟體。

蘋果防護機制

蘋果工程師深知木馬程式比複雜的攻擊程式更常威脅 Mac 用戶,它們會暗中安裝惡意程式,而幾乎只需很少,甚至不需用戶互動。Mac 電腦安全核心包含三種機制,包括

  • 檔案隔離:需要用戶明顯確認,從網路上下載的檔案才能執行。
  • 守門員:防止 App 安裝,除非它是由蘋果認識的開發商簽發。
  • 必要的 App 公證 (notarization):只有蘋果掃瞄過沒有惡意程式才允許 App 安裝

但不久前,Mac 安全專家發現一隻名為 Shlayer 的惡意程式開採了一項漏洞,使其能完全壓制住三種安全機制。

2018 年出現的 Shlayer 就以使用嶄新的資料隱碼術躲避偵測令人印象深刻。去年九月它成功繞過蘋果要求的 App 公證。去年卡巴斯基指出 Shlayer 是該公司產品偵測次數最多的 Mac 惡意軟體,變種將近 3.2 萬個。

Shlayer 是在今年一月被發現開採零時差漏洞。它並非使用 Mac 執行檔常見的 Mach-O 格式,這次攻擊的執行檔元件是 macOS script,會以特定順序執行一系列指令。

一般從網路下載的 scripts 會被歸類為 App Bundle,需遵守其他執行檔相同的規定。但稍稍改一下就能使 scripts 完全閃過這些要求。

只要移除 info.plist—這是一個對 iOS 提供 app、bundle 或 framework 屬性列表的結構化文字檔—script 就再也無法被登錄為 macOS 的可執行檔 bundle。它會被視為一個 PDF 或其他非執行檔,就不落在守門員 (Gatekeeper) 或其他防護機制的處理範圍內。

被開採的漏洞 CVE-2021-30657 是由安全研究人員 Cedric Ownens 發現並通報蘋果。他說他是使用 Appify 開發工具,使用「紅隊演練」的模擬安全攻防工具時發現該漏洞。他發現 Appify 可以將 shell script 轉為可雙擊啟動的 App,而這麼做可以繞過 Gatekeeper。他也立即通報蘋果。

蘋果周一發佈的 macOS 11.3 將該漏洞修補掉了。Owens 表示,這項漏洞似乎從 2019 年 6 月的 macOS 10.15,即當公證機制引入時就已存在。

無巧不巧軟體管理公司 Jamf 研究人員 Jaron Bradley 則發現 Shlayer 變種正在攻擊 CVE-2021-30657,詳細分析發現它可繞過蘋果防護機制,在不觸發用戶警告情況下安裝,進一步分析則讓我們相信,惡意程式作者已發現到 macOS 的零時差漏洞,且在 2021 年初用惡意程式加以開採。

Mac 安全專家 Patrick Wardle 則開發了概念驗證攻擊程式示範 Shlayer 變種運作方式。這個可執行 script 從網路下載後偽裝成名為「Patrick’s 履歷」的 PDF 檔,一旦有人雙擊開啟,就會啟動名為計算機應用程式。換成惡意檔也一樣能輕鬆啟動,使蘋果的防護機制形同虛設。

來源:Ars Technica

關於我們

自 1990 年創刊 UXmaster 雜誌,1991 年獲得美國 LAN Magazine 獨家授權中文版,2006 年獲得 CMP Network Computing 授權,2009 年合併 CMP Network Magazine 獨家授權中文版,2014 年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT 人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2023 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416