macOS 漏洞允许威胁行为者绕过 Apple Gatekeeper

潜水简介：

• 据一份报告称，微软研究人员发现了 macOS 中的一个漏洞，该漏洞允许威胁行为者绕过 Apple Gatekeeper 中的安全功能，该工具旨在确保只有受信任的应用程序才能在 Mac 上运行。 该博客文章于周一发布.
• 研究人员发现，这个被研究人员称为 Achilles 的漏洞可能被威胁行为者用作恶意软件向量，并可能增强未来针对 macOS 的恶意攻击的能力。 该漏洞被指定为 CVE-2022-42821。
• 研究人员发现，macOS Ventura 中为保护高危用户而发布的 Apple Lockdown 模式旨在防止一键式远程执行漏洞利用，但对 Achilles 不起作用。

潜水洞察：

近年来，Gatekeeper 经常成为威胁活动的目标，作为其概念验证利用的一部分，研究人员已经确定了各种绕过安全功能的机制。 威胁行为者可以：

• 滥用 com.apple.quarantine 扩展属性映射
• 在对孤立文件执行策略检查的组件中查找漏洞。

微软研究人员指出了一些 Gatekeeper 绕过的例子，这些例子以前被分配了常见的漏洞和暴露 (CVE) 编号。

在一个示例中，CVE-2021-1810 包括设置隔离属性。 在此示例中，长度超过 886 个字符的路径无法继承扩展属性 com.apple.quarantine，研究人员从 有保险.

据该博客称，微软在 7 月通过协调披露漏洞与苹果公司分享了对该问题的研究，苹果公司发布了针对其所有操作系统的修复程序。 苹果没有立即回应置评请求。

Zimperium 研究人员表示，Gatekeeper 是一个强大的过程，可确保通过 macOS 的应用程序是合法的，但仅靠这一层安全性是不够的。

无论他们的目标是 iOS 还是 macOS，威胁参与者都在寻找新的和创新的方法来绕过不提供高级威胁保护的 OEM 安全工具，并将风险测量返回给他们的安全团队，从而使关键数据和系统处于高风险之中。Richard Melek Zimperium 的威胁报告主管通过电子邮件表示。