漏洞被追踪为 CVE-2022-42821,由微软首席安全研究员 Jonathan Bar Or 发现并报告。一周前,苹果已在 macOS 13(Ventura)、macOS 12.6.2(Monterey)和macOS 1.7.2(Big Sur)中解决了漏洞问题。

漏洞允许攻击者通过限制性 ACL 绕过网关管理员Gatekeeper 作为 macOS 安全功能之一 ,能够自动检查所有从互联网中下载的应用程序是否经过了公证和开发者签名验证(由苹果公司批准),并且在应用启动前要求用户确认或发出应用程序不可信的警告。

CVE-2022-42821 漏洞允许攻击者特别制作的有效载荷滥用某个逻辑漏洞,设置“限制性”的访问控制列表(ACL)权限,阻止网络浏览器和互联网下载器为下载成功的 ZIP 文件存档的有效载荷设置com.apple.quarantine属性。

因此,存档的恶意负载中包含的恶意应用程序将在目标系统上启动,而不是被 Gatekeeper 阻止,从而允许攻击者下载和部署恶意软件。

macOS 曾多次出现漏洞

CVE-2022-42821只是在过去几年时间里 Gatekeeper 出现的多个漏洞之一。例如,Bar Or 在 2021 年报告了一个被称为 Shrootless 的安全漏洞,它允许攻击者绕过系统完整性保护(SIP),在被攻击的 Mac 上进行任意操作,甚至可以将权限提升到 root,在脆弱设备上安装 rootkits。

此外,安全研究人员还发现了 powerdir,这是一个允许攻击者绕过透明、同意和控制(TCC)技术来访问用户的受保护数据的漏洞。此外,研究人员还发布了一个 macOS 漏洞(CVE-2022-26706)的利用代码,可以帮助攻击者绕过沙盒限制,在系统上运行任意代码。

早在 2014 年 4 月,苹果就修复了一个零日 macOS 漏洞,该漏洞给允许臭名昭著的 Shlayer 恶意软件背后的攻击者能够规避苹果的文件隔离、门卫和公证安全检查,在受感染的 Mac 上下载更多的恶意软件。

更糟糕的是,Shlayer “制作者”还设法使其有效载荷能通过苹果的自动公证程序,并使用多年的技术来提升权限和禁用了 macOS 的门卫,以运行未签署的有效载荷。