Apple macOS系统中Microsoft Details Gatekeeper绕过漏洞

微软披露了苹果macOS中一个现已修补的安全漏洞的细节，攻击者可以利用该漏洞绕过为防止恶意应用程序执行而实施的安全保护。

缺点，被称为阿基里斯（CVE-2022-42821，CVSS评分：5.5），由iPhone制造商在macOS Ventura 13、Monterey 12.6.2和Big Sur 11.7.2中解决，将其描述为一个逻辑问题，应用程序可以将其武器化以规避Gatekeeper检查。

Microsoft 365 Defender研究团队的乔纳森·巴·奥尔（Jonathan Bar Or）表示：“像这样的网关守卫绕过可以被用作恶意软件和其他威胁的初始访问媒介，有助于提高恶意活动和macOS攻击的成功率”。

Gatekeeper是一种安全机制，旨在确保只有受信任的应用程序才能在操作系统上运行。这是通过一个名为“com.apple.i检疫”的扩展属性实现的，该属性分配给从internet下载的文件。它类似于Windows中的网络标记（MotW）标志。

因此，当一个不知情的用户下载了一个潜在有害的应用程序，该应用程序冒充一个合法的软件时，Gatekeeper功能会阻止该应用程序运行，因为它没有经过苹果公司的有效签名和公证。

即使在应用程序获得苹果批准的情况下，用户在首次启动时也会显示一条提示，以寻求他们的明确同意。

鉴于Gatekeeper在macOS中扮演的关键角色，很难不想象绕过安全屏障的后果，这可能会有效地允许威胁行为者在机器上部署恶意软件。

Microsoft发现的阿基里斯漏洞利用名为访问控制列表（ACL）的权限模型向下载的文件添加极为限制的权限（即“每个人都拒绝write、writeattr、writeextattr、writesecurity、chown”），从而阻止Safari设置隔离扩展属性。

在假设的攻击场景中，对手可以采用这种技术来制作一个恶意应用程序并将其托管在服务器上，然后通过社交工程、恶意广告或水坑将其交付给可能的目标。

该方法还避免了苹果在macOS Ventura中新推出的锁定模式；选择加入限制性设置，以对抗零点击攻击–；这就需要用户应用最新的更新来减轻威胁。

Bar Or说：“假应用程序仍然是macOS上的顶级入门工具之一，这表明Gatekeeper绕过技术是一种有吸引力的，甚至是对手在攻击中利用的必要能力”。