macOS 中严重性为严重性、中等和低严重性的漏洞链的零点击可能使攻击者能够破坏 macOS 的品牌安全保护,并最终损害受害者的 iCloud 数据。
故事始于 Calendar 活动附件缺乏清理。从那时起,研究人员 Mikko Kenttälä 发现,他可以在目标系统上实现远程代码执行 (RCE),并访问敏感数据 – 在他的实验中,他使用了 iCloud 照片。该过程中的任何步骤都不需要任何用户交互,Apple 的 Gatekeeper 和 Transparency, Consent, and Control (TCC) 保护措施都无法阻止它。
macOS 中的 Zero-Click 漏洞利用链
早在 2023 年 2 月,链中最重要的第一个漏洞 CVE-2022-46723 就被授予 CVSS 评分 9.8 分(满分 10 分),为“严重”。
它不仅危险,而且很容易利用。攻击者可以简单地向受害者发送包含恶意文件的日历邀请。由于 macOS 未能正确审查文件名,攻击者可以任意命名它,从而产生各种有趣的效果。
例如,他们可以以删除特定的、预先存在的系统文件为目标来命名它。如果他们为其指定与现有文件相同的名称,然后删除用于传递该文件的日历事件,则无论出于何种原因,系统都会删除恶意文件和它模仿的原始文件。
更危险的是攻击者执行路径遍历的可能性,以这样一种方式命名他们的附件,使其能够逃离 Calendar 的沙箱(应该保存附件)到系统上的其他位置。
Kenttälä 使用这种任意文件写入能力来利用操作系统升级(在发现时,macOS Ventura 即将发布)。首先,他创建了一个文件,模拟 Siri 建议的重复日历事件,隐藏了在迁移过程中触发更多文件执行的警报。其中一个后续文件负责将旧日历数据迁移到新系统。另一个允许他从 Samba(开源服务器消息块 (SMB) 协议)挂载网络共享,而不会触发安全标志。另外两个文件触发了恶意应用程序的启动。
破坏 Apple 的原生安全控制
由于 macOS 的 Gatekeeper 安全功能被绕过,恶意应用程序在没有发出任何警报的情况下悄悄进入——这是 Mac 系统和不受信任的应用程序面临的障碍。它被标记为 CVE-2023-40344,早在 2024 年 1 月就被分配了中等严重性(满分 10 个 CVSS 评级)。
不过,Gatekeeper 并不是唯一在攻击中被破坏的标志性 macOS 安全功能。使用恶意应用程序启动的脚本,Kenttälä 成功地将与 iCloud 照片关联的配置文件替换为恶意配置文件。这将 Photos 重新指向一个自定义路径,在 TCC 保护之外,TCC 是 macOS 用来确保应用程序不会不当访问敏感数据和资源的协议。重新指向的 CVE-2023-40434 — CVSS 严重性评分为“低”3.3 — 为肆意盗窃照片打开了大门,这些照片可以通过“微不足道的修改”泄露到外国服务器。
“MacOS 的 Gatekeeper 和 TCC 对于确保仅安装受信任的软件和管理对敏感数据的访问至关重要,”Critical Start 网络威胁研究高级经理 Callie Guenther 解释说。“然而, macOS 日历中的零点击漏洞表明,攻击者如何通过利用沙盒进程来绕过这些保护。”不过,Guenther 指出,macOS 并不是唯一容易受到这些类型攻击的漏洞:“Windows 中存在类似的漏洞,其中 Device Guard 和 SmartScreen 可以使用权限提升或利用内核漏洞等技术绕过。
例如,她补充说,“攻击者使用 DLL 劫持或沙盒逃逸方法来击败 Windows 安全控制。这两个操作系统都依赖于强大的安全框架,但顽固的对手(尤其是 APT 组织)会想方设法绕过这些防御。
Apple 在 2022 年 10 月至 2023 年 9 月的不同时间点承认并修补了漏洞利用链中的许多漏洞。