没有更多的0day -

积极利用Mac 0日中立核心操作系统安全防御

苹果修复了被黑客用来压制安全警告的macOS漏洞。

积极利用Mac 0日中立核心操作系统安全防御
盖蒂图片社

当苹果发布了macOS的最新版本,11.3周一,它不仅引入了对新特性和优化的支持。更重要的是,该公司修复了一个零日漏洞,黑客们正积极利用这个漏洞安装恶意软件,却没有触发核心Mac安全机制,有些安全机制已经存在了10多年。

综合起来,这些防御提供了一套全面的保护,旨在防止用户无意中在他们的mac电脑上安装恶意软件。而一键式甚至零点击恶意攻击理所当然地得到了很多关注,将恶意软件伪装成游戏、更新或其他令人满意的软件的木马程序要常见得多。

保护用户免受自身伤害

苹果的工程师们知道,对大多数Mac用户来说,木马所构成的威胁要比更复杂的攻击更大,后者偷偷地安装恶意软件,与用户的互动很少或根本没有。因此,Mac安全的核心部分依赖于三个相关机制:

  • 文件隔离需要明确的用户确认后,从Internet下载的文件才能执行
  • 看门人禁止安装应用程序,除非这些应用程序是由苹果熟悉的开发者签署的
  • 强制性的应用程序公证只有在苹果对应用程序进行恶意软件扫描后,才能安装应用程序

今年早些时候,Mac安全专家都知道的一个恶意软件开始利用一个漏洞来完全抑制这三种机制。它被称为Shlayer,在问世后的三年中有一个令人印象深刻的记录。

例如,去年9月,它成功做到了这一点通过安全扫描苹果要求应用程序进行公证。两年前,在一场复杂的竞选中小说使用隐写术以逃避恶意软件检测。去年,卡巴斯基说施莱是被检测最多的Mac恶意软件经该公司的产品鉴定,有近3.2万种不同的变体。

聪明的逃避

施莱尔对不晚于1月开始的零日的利用,代表了另一个令人印象深刻的壮举。而不是使用标准Mach-O这种攻击的可执行组件是macOS脚本,它以特定的顺序执行一系列行命令。

通常,从Internet上下载的脚本被归类为应用程序包,并且与其他类型的可执行程序具有相同的要求。然而,一个简单的hack就可以让脚本完全逃避这些需求。

通过删除info.plist-一个结构化文本文件,它映射了它所依赖的文件的位置——脚本不再作为可执行包注册到macOS。相反,该文件被视为PDF或其他类型的非可执行文件,不受Gatekeeper和其他机制的约束。

其中一场攻击始于一则虚假Adobe Flash更新的广告:

Jamf

下面的视频显示,一旦有人上钩并点击下载,该漏洞就会产生巨大的变化。下面的视频描述了取消限制后观众看到的情况。下面的一个显示了如果限制已经到位,更新看起来会有多可疑。

利用CVE-2021-30657的Shlayer攻击。
CVE-2021-30657无漏洞Shlayer攻击。

该漏洞被追踪为CVE-2021-30657,是由安全研究员Cedric Owens发现并报告给苹果的。他说,他是在为“红队”活动做研究时,使用一种名为Appify的开发工具时偶然发现了它。在“红队”活动中,黑客模拟真实的攻击,试图找到以前被忽视的安全弱点。

“我发现Appify能够将一个shell脚本转换成一个可双击的‘应用程序’(实际上只是macOS应用程序目录结构中的一个shell脚本,但macOS将其视为一个应用程序),”他在一条直接的消息中写道。当被执行时,它绕过了守门人。事实上,我在发现它后很快就报告了它,并没有在实战红队演习中使用它。”

苹果固定的漏洞周一发布的macOS 11.3。欧文斯表示,该缺陷似乎自2019年6月推出macOS 10.15以来就存在,也就是在那时引入了公证。

欧文斯与Patrick Wardle讨论了这个漏洞。Patrick Wardle是Mac安全专家,曾在Jamf工作,Jamf是一家Mac企业安全提供商。沃德尔随后联系了Jamf的研究人员,他们发现了利用该漏洞的Shlayer变体,比苹果或大多数安全领域的人都早。

Jamf研究员Jaron Bradley告诉我:“我们的一项检测提醒我们注意这个新变种,经过更仔细的检查,我们发现它使用了这个旁路,允许它在没有终端用户提示的情况下安装。”“进一步分析让我们相信,恶意软件的开发者发现了零日,并在2021年初调整了他们的恶意软件来使用它。”

Wardle开发了一个概念验证漏洞,展示了Shlayer变体的工作原理。从网上下载后,可执行脚本会以名为“帕特里克的简历”的PDF文件的形式出现。当用户双击该文件时,它会启动一个名为calculator.app的文件。这个漏洞可以很容易地执行一个恶意文件。

帕特里克·瓦尔德

在一个12000字的深潜沃德尔总结道:

虽然这个bug现在已经打了补丁,但它清楚地(再一次)表明macOS也不是不受难以置信的肤浅但却具有巨大影响的缺陷的影响。浅多少?一个合法的开发工具(appify)会无意中触发这个bug,这实在是太可笑了(也太可悲了)。

以及如何有效的吗?基本上,macOS安全性(在评估用户启动的应用程序的上下文中,回想起来,占了macOS感染的绝大多数)是完全没有意义的。

布拉德利发表了一帖子这篇文章讲述了这个漏洞的外观和工作原理。

许多人认为像Shlayer这样的恶意软件很简单,因为它依赖于欺骗受害者。给Shlayer应得的,恶意软件是非常有效的,在很大程度上是因为它有能力抑制macOS防御设计,在用户意外感染自己之前提示他们。那些想知道自己是否被这个漏洞攻击的人可以下载Wardle编写的python脚本。

你必须置评。

通道Ars Technica