苹果修复 Gatekeeper 绕过漏洞

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

如攻击者绕过自动化授权安全检查（用于扫描恶意组件和代码签名漏洞），则Gatekeeper 可启动这些应用程序。Gatekeeper 是macOS 安全特性，旨在验证所下载应用是否授权以及开发人员是否已签名。

目标系统上启动针对CVE-2021-30853的基于恶意脚本的应用后，攻击者可下载并部署第二阶段的恶意payload。

苹果公司在9月份发布 macOS 11.6版本，解决了该漏洞。

该 Gatekeeper 绕过漏洞是由Box Offensive 公司的安全工程师 Gordon Long 发现并报告的。

Long 发现从互联网下载的特殊构造的基于脚本的应用，能够在不显示警告的情况下启动，即使是自动隔离也不管用。

这个“特殊构造的“部分要求创建一个使用脚本的app，该脚本以shebang(!#) 字符开头但余下行空白，告诉 Unix shell 运行该脚本而无需制定一个 shell 命令解释器。这就导致Gatekeeper 绕过发生，因为当不指定解释器启动脚本时，AppleSystemPolicy 内核扩展常调用的用于执行安全检查（签名和验证）的syspolicyd 守护进程不再被触发进行检查。

从本质上来说，如果脚本使用了 shebang (!#) 但未明确制定解释器，则将会绕过 Gatekeeper 安全检查。

安全研究员 Patrick Wardle 指出，“syspolicyd 守护进程将执行多种策略检查并最终阻止执行不可信应用程序如未签名或未授权的应用。但是，如果 AppleSystemPolicy kext 认为 syspolicyd 守护进程无需被调用怎么办？那么该进程是被允许的。如果该决策失败，那么你就会看到 File Quarantine（文件隔离）、Gatekeeper 和认证被绕过。“

Wardle指出，威胁行动者可诱骗目标打开看似非恶意的PDF文档的恶意app来利用该漏洞。此类恶意payload 可通过很多方法在目标系统交付，包括从与盗版软件链接的站点投毒的搜索结果、虚假更新和木马化应用程序。

这并非苹果公司修复的可导致威胁行动者完全规避完全打补丁 Mac 上OS安全机制（如 Gatekeeper 和文件隔离）的首个macOS 漏洞。

四月份，苹果修复 Shlayer 恶意操纵者在野利用的0day，攻击者利用该漏洞绕过 macOS 自动化安全检测并在受陷 Mac 上部署了其它payload。

从2021年1月开始，Shlayer 恶意人员还通过未签名和未认证恶意软件，利用0day (CVE-2021-30657)。微软还在今年10月份发现了一个 macOS 漏洞 Shrootless（CVE-2021-30892）可被用于绕过SIP 并执行任意操作、提权至root 并在受陷设备上安装后门。

苹果公司发布安全公告指出，“恶意应用程序可能会修改文件系统的受保护部分。“