(相关资料图)
网络安全研究人员在macOS中发现了一个新漏洞,该漏洞允许攻击者完全绕过本地安全解决方案,并在不显示安全提示的情况下执行未签名和未公证的应用程序。
在博客文章中宣布这一消息(在新标签中打开),来自JamfThreatLabs的研究人员表示,他们发现了macOS存档实用程序中的漏洞,这是本机macOS存档应用程序,类似于WinRAR和其他存档应用程序。
滥用此应用程序中发现的漏洞可让威胁参与者绕过Gatekeeper和所有其他安全检查。
Jamf解释了该漏洞(编号为CVE-2022-32910),表示它围绕macOS如何处理从互联网下载的未归档文件展开。
com.apple.quarantine,向操作系统发出信号,表明它是从远程位置接收的,应该进行分析。提取的所有内容也将收到相同的隔离属性。好吧-几乎所有东西。在某些情况下,存档实用程序会创建额外的文件夹以避免混淆:
“当涉及到应用程序包时,Gatekeeper只关心应用程序目录本身是否具有隔离属性集,而忽略应用程序包中的递归文件。因此,我们可以通过确保我们的非隔离文件夹是一个应用程序来绕过Gatekeeper,”研究人员解释说。
“如前所述,包含我们未存档文件的文件夹名称由用户控制,因为存档实用程序会根据存档名称创建此文件夹,而无需扩展名。因此,我们可以将我们的存档命名为test.app.aar,这样当它被取消存档时,它会有一个名为test.app的文件夹名称。在该应用程序中将是一个包含可执行文件的预期应用程序包。”
对于要利用的漏洞,存档名称必须包含.app扩展名,目标目录的根目录中应该至少有两个文件或文件夹,因为这会触发临时目录的自动重命名,并且仅应用程序中的文件和文件夹应存档,不包括test.app目录。
Jamf表示,在向苹果公司披露后,该公司于2022年7月修复了该问题,因此建议用户尽快更新。