黑客利用0天网守漏洞攻击macOS计算机

安全只与最薄弱的环节一样强大。为了进一步证明这一点，苹果发布了macOS操作系统的更新，以解决一个被积极利用的零日漏洞，该漏洞可能会绕过所有安全保护，从而允许未经批准的软件在Mac上运行。

2021年3月25日，安全工程师Cedric Owens发现并报告了McOS缺陷，称为CVE-20213067。

“一个未签名、未命名、基于脚本的概念验证应用程序[…]安全研究员Patrick Wardle在一篇文章中解释道：“即使是在一个打满补丁的M1 macOS系统上，也可以轻松可靠地避开macOS的所有相关安全机制（文件隔离、网守和公证要求）。”有了这样一种能力，macOS恶意软件的作者可以（并且正在）回到他们已被证明的瞄准和感染macOS用户的方法。"

苹果的macOS带有一个名为Gatekeeper的功能，该功能通过确保软件已由应用商店或注册开发者签名，并已清除一个名为“应用公证”的自动过程，扫描软件中的恶意内容，只允许运行受信任的应用。

但欧文斯发现的新漏洞可能会让对手以欺骗守门人服务的方式编写恶意应用程序，并在不触发任何安全警告的情况下执行。该骗局包括将恶意shell脚本打包为“可双击的应用程序”，以便恶意软件可以双击并像应用程序一样运行。

欧文斯说：“这是一个应用程序，你可以双击它，当你右键点击时，macOS会将其视为一个应用程序->；获取有效载荷的信息。”。“然而，它也是shell脚本，因为即使存在隔离属性，网关守护者也不会检查shell脚本。”

根据MACOS安全公司JAMF，Surrar恶意软件背后的威胁演员早在2021年1月9日就滥用了这个看门人旁路漏洞。根据卡巴斯基2019年的统计数据，Shlayer通过一种称为搜索引擎中毒（search engine Toxing）或spamdexing的技术发布，几乎占macOS平台上所有检测的30%，十分之一的系统至少遇到过一次广告软件。

该攻击通过操纵搜索引擎结果来显示恶意链接，当点击该链接时，会将用户重定向到一个网页，提示用户为过时的软件下载看似良性的应用程序更新。在本次活动中，该软件是一个bash脚本，旨在秘密检索下一阶段的有效负载，包括Bundleore广告软件。令人不安的是，这种感染计划可能会被用来提供更高级的威胁，如监视软件和勒索软件。

除了上述漏洞外，周一的更新还解决了WebKit存储中的一个关键漏洞（追踪为CVE-2021-30661），该漏洞涉及在处理恶意制作的web内容时，iOS、macOS、tvOS和watchOS中的任意代码执行漏洞。

该公司在一份安全文件中表示：“苹果知道一份报告称，该问题可能已被积极利用。”该公司补充称，它通过改进内存管理解决了释放后使用的弱点。

除了这些更新，苹果还发布了针对Windows 12.3的iCloud，其中包括针对WebKit和WebRTC中四个安全问题的补丁，这些补丁可能允许攻击者进行跨站点脚本（XSS）攻击（CVE-2021-1825）和损坏内核内存（CVE-2020-7463）。

建议苹果设备的用户更新至最新版本，以降低与缺陷相关的风险。