微軟安全威脅情報小組(Microsoft Security Threat Intelligence)發現macOS有項漏洞,能讓攻擊者繞過Gatekeeper安全機制,而在Mac電腦上執行惡意應用程式。蘋果已經釋出新版macOS作業系統予以修補。

微軟是在7月發現編號CVE-2022-42821的漏洞,它可使用應用程式繞過macOS Gatekeeper提供的應用執行限制。Gatekeeper功能是確保只有受信賴的應用程式可以在Mac裝置上執行。本漏洞可為惡意程式開啟Mac電腦大門,再協助提升攻擊活動成功率。微軟也將此漏洞為「阿奇里斯」(Achilles)。

微軟解釋,Gatekeeper會檢查所有從網路下載的應用程式,確認應用程式是否具備(蘋果核准的)開發人員簽章以及經過蘋果公證,應用程式必須通過檢查才能開啟,否則Gatekeeper就會封鎖應用程式執行並通知使用者(如下圖所示)。

圖片來源/微軟

Gatekeeper的作業原理是檢查蘋果瀏覽器Safari在應用程式下載時賦予的擴充屬性,其中com.apple.quarantine儲存下載檔案來源資訊,以及提供Gatekeeper處理檔案的指示。

研究人員發現,透過設定非常嚴格的存取控制清單(Access Control List,ACL),可使Safari(或其他應用程式)無法設定擴充屬性,包括Gatekeeper相關的com.apple.quarantine。結果就能使Gatekeeper無法在用戶從網路下載執行惡意程式時發揮把關的作用。

研究人員並在概念驗證中設計了濫用這項漏洞的方法,建立假路徑及儲存經改造的ACL的假AppleDouble檔案,成功使Gatekeeper使用了這個檔案,因而造成了Gatekeeper繞過的結果。

這項漏洞影響macOS 12 Monterey、macOS 11 Big Sur等版本。經過微軟通報,蘋果已經釋出macOS Monterey 12.6.2、macOS Big Sur 11.7.2及macOS Ventura 13解決漏洞。

微軟並提醒,macOS的安全功能封閉模式(Lockdown Mode)無法防範阿奇里斯漏洞攻擊。這功能是Ventura以後加入,用於保護特定高風險人士可能遭國家或進階駭客執行零點擊遠端程式碼攻擊。微軟呼籲Mac電腦用戶,不論是否開啟封閉模式都必須安裝更新。

熱門新聞

Advertisement