Apple 已經解決了一個 macOS 的安全漏洞,那是那些未經簽署或未經認證的、以 Script 為基礎的應用程式,可以藉由該漏洞成功繞過所有 macOS 的安全機制,即使是在已經修復完全的更新版本中,也無法避免。
如果那些應用程式可以規避自動驗證的安全檢查(掃瞄惡意元件或檢查簽署有無問題),則 Gatekeeper 會允許應用程式啟動,因為它會認為該應用程式是沒問題的,Gatekeeper 是 macOS 的一項安全性功能,旨在驗證使用者所下載的應用程式是否經過驗證以及是否有開發人員的簽署。
一旦在目標的系統上執行繞過安全驗證機制的惡意應用程式,那麼惡意攻擊者就可以使用它們來進行第二次、更進階的惡意攻擊方式。
而 Apple 也在 2021 年九月發佈的 macOS 11.6 版本中,宣佈已解決此一漏洞的安全性問題,並且在該版本中也改善了 macOS 的檢查機制。
透過「shebang」繞過 Gatekeeper
該漏洞(CVE-2021-30853)是由國外一名安全工程師 Gordon Long 所發現,並將報告提交給 Apple。
他發現從網路上下載以 Script 為基礎的應用程式,即便已經將它隔離,也會在無預警的情況下啟動執行。而這個特別的應用程式背後的程式碼是以「shebang」作為起始字元,也就是井字號以及驚嘆號,其餘則留空,那麼基本上該應用程式就有很大的機率會繞過 Gatekeeper 的安全性檢查。如此一來,惡意攻擊者就可以成功「騙過」系統的安全檢查,以啟動應用程式,再透過其他方式來攻擊目標電腦,比如說搜雲到有毒的結果、偽造的更新通知、或是連結到惡意或非法的軟體網站以下載木馬程式。
惡意軟體利用了類似的錯誤
這不是 Apple 修復的第一個 macOS 錯誤,該錯誤使攻擊者能夠完全規避即便是已經修復完全的 macOS 上的 Gatekeeper 及 File Quarantine(檔案隔離)等安全檢查機制。
今年四月,Apple 修復了由 Jamf Protect 所檢測到的 Shlayer 惡意軟體,其利用零時差攻擊,也是繞過 macOS 的安全性檢查機制,並在感染的 Mac 上安裝其他惡意元件。(CVE-2021-30657)
而 Microsoft 也在今年十月發現了一個 macOS 的漏洞 Shrootless,它可以繞過 SIP(系統完整性保護)並執行任意操作,將存取的權限提升為 root,並在受感染的 Mac 上安裝其他惡意元件,其危險程度就連 Apple 在修復 Shrootless 的漏洞之後,也在安全報告中表示此漏洞可能可以自行更改檔案系統中受保護的部分。(CVE-2021-30892)
你的下一步
TWDC 提供 macOS IT 人員相關學習課程,進一步了解 macOS 安全防護科技。或歡迎與我們諮詢 macOS 相關的終端防護軟體。
原文連結:https://www.bleepingcomputer.com/news/apple/apple-fixes-macos-security-flaw-behind-gatekeeper-bypass/