微軟揪出蘋果macOS系統的「阿基里斯」資安漏洞

編譯/鄭智懷

微軟稍早揭露了一項蘋果macOS系統中已經修復、名為「阿基里斯」(Achilles)的資安漏洞。攻擊者可以利用此漏洞繞過macOS系統內建的Gatekeeper安全機制對目標植入惡意程式,並藉機竊取電腦資料。

微軟表示,「阿基里斯」由首席安全研究員 Jonathan Bar Or所發現,其代碼為「CVE-2022-42821」。該漏洞利用存取控管清單(ACL)為下載的檔案添加可以通過Gatekeeper的權限,導致用戶在使用macOS系統下載並打開含有惡意程式的文件時,不會觸發 Gatekeeper 的安全警示。同時,「阿基里斯」還可以使攻擊者規避蘋果最新推出,旨在為少數面臨鎖定式資安攻擊的使用者,以及「零時差」(zero-day)漏洞防護的「鎖定模式」(Lockdown Mode)。

透過該資安漏洞,攻擊者可以製作惡意程式並上傳至第三方伺服器,通過社交工程(Social engineering)、惡意廣告(Malvertising)或水坑(Watering hole)等攻擊手法將其傳送到可能的攻擊目標。

圖/123RF

Jonathan Bar Or表示,虛假應用程式是攻擊者打入macOS系統的主要方式之一,顯示繞過Gatekeeper安全機制是極具吸引力且攻擊方必備的能力。

「阿基里斯」並非唯一可繞過Gatekeeper的資安漏洞。早在2021年4月,蘋果修復了macOS系統中的「零時差」漏洞,旨在避免Shlayer 惡意軟體使用者可藉其繞過Gatekeeper 和安全驗證。

據微軟表示,資安團隊已經在2022年7月向蘋果通報「阿基里斯」漏洞。蘋果在近期已發布macOS 13(Ventura)、macOS 12.6.2(Monterey)和macOS 11.7.2(Big Sur)的更新,釋出修補該漏洞的補丁。

資料來源:MicrosoftTechCrunchThe Hacker News

瀏覽 1,120 次

覺得不錯的話就分享出去吧!

發佈留言

Back to top button