专家详细介绍了可能让恶意软件绕过网守安全的macOS漏洞

苹果最近修复了macOS操作系统中的一个安全漏洞，该漏洞可能会被威胁行为人利用，以“微不足道且可靠地”绕过“无数基本macOS安全机制”，运行任意代码。

周四，安全研究员帕特里克·沃德尔在一系列推文中详细介绍了这一发现。该问题被追踪为CVE-2021-30853（CVSS分数：5.5），与恶意macOS应用程序可能绕过守门人检查的场景有关，守门人检查确保只有受信任的应用程序可以运行，并且它们已经通过了一个称为“应用程序公证”的自动化流程

这家iPhone制造商通过报告Box的漏洞报告了Gordon Long的漏洞，称它在2021年9月20日发布的MaCMOS 11.6更新中找到了改进的漏洞。

Wardle在一篇关于该漏洞的技术文章中说：“此类漏洞通常对日常macOS用户影响特别大，因为它们为广告软件和恶意软件作者提供了一种避开macOS安全机制的手段，即那些原本会阻止感染企图的机制。”。

具体来说，该漏洞不仅绕过了Gatekeeper，还绕过了文件隔离和macOS的公证要求，实际上，只要打开一个看似无害的PDF文件，它就可以破坏整个系统。沃德尔认为，问题的根源在于，一个未签名、未经公证的基于脚本的应用程序可以不显式指定解释器，导致完全绕过。

值得注意的是，shebang解释器指令—；e、 g.#/bin/sh或#/bin/bash—；通常用于解析和解释shell程序。但在这种边缘案例攻击中，对手可以设计一个应用程序，以便在不提供解释器的情况下合并shebang行（即#！）并且仍然可以让底层操作系统在不引发任何警报的情况下启动脚本。

沃德尔解释说，这是因为“在最初失败后，macOS将（重新）尝试通过shell（'/bin/sh'）执行失败的['explorer-less'基于脚本的应用程序]”。

换句话说，威胁参与者可以通过诱骗目标打开一个恶意应用程序来利用这个漏洞，该应用程序可以伪装为Adobe Flash Player更新或微软Office等合法应用程序的特洛伊木马版本，可以通过一种称为搜索毒害的方法进行传播，攻击者会人为地提高托管其恶意软件的网站的搜索引擎排名，以吸引潜在的受害者。

这不是第一次在把关过程中发现缺陷。今年4月早些时候，苹果迅速修补了一个随后被积极利用的零日漏洞（CVE-2021-30657），该漏洞可能会绕过所有安全保护，从而允许未经批准的软件在Mac电脑上运行。

Then in October, Microsoft disclosed a vulnerability dubbed "Shrootless" (CVE-2021-30892), which could be leveraged to perform arbitrary operations, elevate privileges to root, and install rootkits on compromised devices. Apple said it remediated the problem with additional restrictions as part of security updates pushed on October 26, 2021.