签名验证漏洞让恶意软件绕过几个Mac安全产品

安全公司Okta的研究员Josh Pitts发现，Mac包括小飞贼、F-Secure xFence、VirusTotal、谷歌圣诞老人和Facebook OSQuery，可能会被骗相信一个未签名的恶意代码是由苹果签署的。

代码签名机制是对抗恶意软件的重要武器，它可以帮助用户识别谁签署了应用程序，并提供合理的证据证明应用程序未被修改。
然而，Pitts发现，大多数产品用于检查数字签名的机制很容易绕过，允许恶意文件与合法的苹果签名代码捆绑在一起，从而有效地使恶意软件看起来像是由苹果签名的。

需要注意的是，这个问题不是MacOS本身的漏洞，而是第三方安全工具在处理Mac的可执行文件Universal/Fat文件时如何实现苹果的代码签名API的缺陷。

攻击者利用该漏洞需要使用通用或Fat二进制格式，其中包含为不同CPU体系结构（i386、x86_64或PPC）编写的多个Mach-O文件（可执行文件、dyld或捆绑包）。

Pitts解释说：“Mach-O加载器加载签名代码的方式与使用不当的代码签名API检查签名代码并通过格式错误的通用/Fat二进制文件进行攻击的方式不同，存在此漏洞”。

Pitts还创建了几个格式不正确的PoC Fat/Universal文件，供开发人员使用，以便针对该漏洞测试其产品。

研究人员称，在某些情况下，利用这种技术成功的攻击可以让攻击者获得个人数据、财务细节，甚至敏感的内幕信息。

以下是受影响的供应商列表，以及相关的安全产品和CVE：

• VirusTotal（CVE-2018-10408）
• 谷歌，Santa，molcodesignchecker（CVE-2018-10405）
• Facebook，OSQuery（CVE-2018-6336）
• 目标发展，LittleSnitch（CVE-2018-10470）
• F-Secure，xFence和LittleFlocker（CVE-2018-10403）
• 目标见，WhatsYourSign、ProcInfo、KnockKnock、LuLu、TaskExplorer等（CVE-2018-10404）
• 发出短而尖的叫声？OSXCollector（CVE-2018-10406）
• 炭黑，Cb回复（CVE-2018-10407）

研究人员于3月首次将该漏洞通知苹果，但苹果表示，该公司不认为这是一个安全问题，他们应该直接解决。

Pitts说：“苹果表示，文档可以更新，新功能可以推出，但‘第三方开发者需要做额外的工作，以验证通用二进制文件中的所有身份是否相同，如果他们想要呈现有意义的结果”。

因此，在收到苹果的消息后，Okta联系了CERT/CC，然后通知了所有已知的受影响的第三方开发者，他们正在开发可能很快就会发布的安全补丁。

谷歌承认并已于4月底发布了圣诞老人的安全更新。因此，建议用户升级到最新的Santa v0。9.25.

Facebook在其最新版本的OSquery中也解决了这个问题，该版本已经可以下载。F-Secure还向xFENCE用户推出了自动更新，以修补该漏洞。

如果您正在使用上述工具之一，建议您在未来几天检查更新，并在软件发布后立即升级，以防止利用该漏洞的攻击。